Исследователи обнаружили в прошивках ряда роботов Unitree набор уязвимостей под общим именем UniPwn — комбинацию дефектов, позволяющую удалённо получить права суперпользователя и потенциально распространяться по беспроводным каналам в стиле "червя". Ниже — переработанный, человекоориентированный разбор проблемы, её рисков и практические шаги для владельцев, интеграторов и разработчиков.
UniPwn затрагивает несколько линеек Unitree (в отчёте упоминаются G1, H1, Go2, B2) и представляет собой не один баг, а сочетание ошибок, которые усиливают друг друга. Ключевые проблемы: жёстко встроенные (hard-coded) криптографические ключи для Bluetooth Low Energy (BLE), слабая или отсутствующая аутентификация и подстановка пользовательского ввода прямо в системные shell-команды (command injection). На практике это даёт возможность выполнить произвольный код с правами root и, при некоторых условиях, сканировать и заражать соседние устройства по радио.
Hard-coded ключи BLE — вместо уникальных ключей для каждого устройства в прошивке используются одинаковые встроенные значения, поэтому подключиться постороннему устройству значительно проще.
Слабая аутентификация — команды принимаются без надёжной проверки прав, иногда используются предсказуемые токены.
Shell-инъекция — входные строки от беспроводных соединений подставляются в вызовы shell, что позволяет выполнить любую команду ОС.
Сетевой эффект — заражённый робот может сканировать радиус действия и пытаться скомпрометировать другие уязвимые устройства, превращаясь в самораспространяющийся агент.
| Модель | Тип | Уровень риска (потенциально) | Основной вектор атаки |
| G1 | бипед | высокий | BLE + shell-injection |
| H1 | бипед | высокий | BLE + слабая аутентификация |
| Go2 | квадропод | высокий | BLE + прошивка |
| B2 | квадропод | высокий | BLE + сетевой "червь" |
Реальная уязвимость зависит от версии прошивки и конфигурации устройства; не все экземпляры обязательно уязвимы.
Отключите BLE и другие беспроводные интерфейсы, если это возможно.
Изолируйте робота: поместите в отдельную подсеть или VLAN; запретите доступ к критичным сервисам.
Отключите автоподключение и автоматическое спаривание.
Закройте удалённые интерфейсы: отключите SSH/админ-панели из внешней сети или настройте доступ по VPN с двухфакторной аутентификацией.
Проверьте логи на неизвестные сессии, неожиданные перезапуски сервисов, попытки записи прошивки.
Временно исключите одновременную эксплуатацию нескольких роботов в одном пространстве до полной проверки.
Сделайте резервные копии конфигураций и логов перед любыми восстановительными операциями.
Свяжитесь с поддержкой Unitree и следуйте их официальным инструкциям и патч-релизам.
Мониторьте базы уязвимостей (CVE) и каналы поставщика для оперативного реагирования.
Hard-coded ключи → легко перехват/подмена соединения → внедрить per-device ключи и процедурный паринг.
Отсутствие валидации ввода → возможность shell-инъекций → применять строгую валидацию и экранирование, не формировать команды через shell.
Отсутствие подписи прошивок → риск загрузки злонамеренных образов → внедрить code signing и проверку подписи на устройстве.
Если патч недоступен и устройство нельзя отключить: минимизируйте риск через физическую сегментацию сети, жёсткие ACL и перенаправление трафика через IDS/IPS. Если вы заметили компрометацию — отключите питание и сохраните образ флеш-памяти/логи для расследования.
| Аспект | Плюсы | Минусы |
| Отключение BLE | быстродействующая защита | ухудшение функциональности робота |
| Изоляция в VLAN | снижает риск распространения | требует сетевой инфраструктуры |
| Полная перепрошивка | устраняет уязвимость (если патч корректен) | риск потери настроек, требуется тестирование |
A: Уязвимость связана с версиями прошивки; некоторые устройства могут быть обновлены, другие — нет. Проверьте версию ПО и уведомления производителя.
A: Немедленно изолируйте устройство, отключите сетевой доступ, снимите логи и обратитесь к специалистам по инцидентам.
A: Стоимость варьируется: от простой OTA-прошивки до полной замены устройств/модификации аппаратной части (в случае невозможности безопасно сменить ключи). Оценка требует аудита.
Миф: "Робот — железяка, его не взломать".
Правда: робот — это компьютер с сетевыми интерфейсами; дефекты в ПО дают полный контроль над его поведением.
Миф: "Если устройство офлайн — в безопасности".
Правда: чаще да, но если устройство уже скомпрометировано, офлайн-копия может скрывать угрозу; также возможен перенос заражения через физические носители.
Миф: "Проще отключить — и забыть".
Правда: отключение временно снижает риск, но не решает системную проблему.
Длительная работа в условиях угрозы безопасности повышает уровень стресса у операторов. Рекомендации: чёткие чек-листы реагирования снижают тревожность; разделение обязанностей и регулярные тренировки помогают сохранить концентрацию и избежать усталости, которая приводит к ошибкам при обновлениях и восстановлении.
Сетевое самораспространение по BLE — редкость, но возможно в однородных парках IoT-устройств.
Hard-coded секреты остаются одной из самых частых ошибок в массовых прошивках.
Комбинация BLE + shell-injection + слабая аутентификация даёт эксплоиту невероятно мощные возможности.
Ранние IoT-инциденты показали, что одинаковые дефолтные пароли приводят к массовым заражениям.
Сценарии самораспространения (например Mirai) научили индустрию важности сегментации и мониторинга.
Современные промышленные роботы переходят из изолированных сетей в корпоративные среды, что повышает потребность в безопасном lifecycle-менеджменте.