ربات‌های یونی‌تری هر ۵ دقیقه به چین گزارش میدن؛ ماجرای ترسناک باگ امنیتی!

یه خبر داغ بین دوستای ربات‌باز پیچیده که بد نیست تو هم بدونی: امنیت‌پژوه‌ها فهمیدن یه ضعف خیلی جدی توی بلوتوث ربات‌های دوپای یونی‌تری (Unitree) و مدل‌های چهارپاش وجود داره. فکر کن! ربات‌هایی مثل Go2 و B2 که چهارپا هستن و مدل G1 و H1 که قیافه‌شون خیلی شبیه آدمه، الان تو آزمایشگاه‌ها، دانشگاه‌ها و حتی بعضی واحدای پلیس استفاده میشن، ولی… یه باگ عجیب دارن!

ماجرا از این قراره که بلوتوث LE (Bluetooth Low Energy یعنی همون بلوتوث با مصرف انرژی کم که برای اتصال راحت‌تر ساخته شده) توسط یونی‌تری استفاده میشه تا آدم‌ها راحت‌تر بتونن ربات رو به وای‌فای وصل کنن. اما دو پژوهشگر باحال به اسم آندریاس مارکیس و کوین فینیستِره یه باگ به اسم UniPwn پیدا کردن که نشون میده کافیه فقط یه نفر یه ربات رو هک کنه تا بتونه بقیه ربات‌های توی همون محدوده رو هم آلوده کنه! یعنی عملاً میشه یه گروه ربات هک‌شده برای خرابکاری درست کرد (به این حالت میگن “botnet”؛ بات‌نت یعنی شبکه‌ای از دستگاه‌های هک‌شده که هرکاری آدم بخواد براش انجام میدن).

حالا این قصه چجوریه؟ قضیه اینجاست که یونی‌تری اومده رمزگذاری رو با استفاده از کلیدهای ثابت (hardcoded) پیاده‌سازی کرده. یعنی رمزها برای همه دستگاه‌ها ثابته و بدتر اینکه این کلیدها تو اینترنت لو رفته بودن! این باعث میشه هر کسی، اگه یه دستگاه رو هک کنه، بتونه همه رو خیلی راحت هک کنه. پس فقط کافیه یه نفر وارد ماجرا بشه، بدبختی به بار میاد!

ولی فقط همین نیست؛ یکی از سربزرگ‌ترین نگرانی‌ها اینه که مدل G1 هر پنج دقیقه بدون اینکه به کسی خبر بده، داده‌هاشو می‌فرسته به سرورا تو چین! اگه هکری بخواد، می‌تونه از راه دور کنترل این ربات‌ها رو به دست بگیره و حتی از اون‌ها به عنوان ابزار حمله سایبری استفاده کنه. فکر کن طرف صبح پا میشه می‌بینه ربات خونگیش داره با دنیا جاسوسی می‌کنه!

طبق گفته آندریاس مارکیس، حملات می‌تونن خیلی پیش پا افتاده باشن؛ مثلاً یه نفر فقط ربات رو ریبوت کنه (همون راه‌اندازی مجدد)، اما اگه هکر زرنگ باشه، می‌تونه کارای خطرناک‌تر و خفن‌تری انجام بده.

ولی وقتی این ضعف رو به شرکت یونی‌تری گفتن، جواب قانع‌کننده‌ای نگرفتن! مارکیس میگه قبلاً هم باگ های امنیتی مهم رو بهشون گزارش داده و بازخورد درستی نگرفته؛ نمی‌دونیم این مشکلات اتفاقیه یا کارشون تو توسعه یه کم شلخته هست… در هر دو حالت، اصلاً قابل قبول نیست!

البته شرکت یونی‌تری یه بیانیه داد و گفت: “ما متوجه شدیم بعضی کاربرا مشکلات امنیتی رو کشف کردن و دیگه داریم بیشترش رو رفع می‌کنیم. به زودی آپدیت‌ها میاد!” ولی هنوزم حس خوبی بهشون نمی‌ده.

اگه تو هم یکی از این رباتا داری یا دوست داری داشته باشی، یه توصیه مهم اینه که فقط با وای‌فای وصل شون کنی و بلوتوثشون رو غیر فعال بذاری. این رو ویکتور مایورال-ویلس (بنیان‌گذار یه شرکت امنیت ربات به اسم Alias Robotics) گفته که کارش رو این چیزا حسابیه!

در کل، این‌جور مشکلات بلوتوث و ارسال مخفیانه داده مدت‌ها تو تجهیزات هوشمند (همون IoT یعنی اینترنت اشیا؛ دستگاه‌هایی که به اینترنت وصل می‌شن و باهم حرف می‌زنن) بوده. ولی فرق الان اینه که الان این ضعف‌ها دارن می‌رن تو دنیای ربات‌هایی که دیگه کوچیک و بی‌خطر نیستن؛ می‌تونن برن آزمایشگاه یا حتی خونۀ خودمون!

یادت باشه که ربات مدل G1 هر پنج دقیقه داده‌هاشو می‌فرسته چین، این اصلاً موضوع ساده‌ای نیست حتی اگه بعضیا بگن خب الان دیگه همه داده جمع می‌کنن! در نهایت، واقعاً باید شرکت‌های رباتیک شفافیت و امنیت رو به عنوان یک اصول پایه‌ای رعایت کنن، نه یه گزینه جانبی. نکته مهم اینه: وقتی روباتی توی خونه یا محل کارت داری، باید مطمئن باشی داره برای همون کاری که گفتی کار می‌کنه و قراره کسی از توش سواستفاده نکنه!

منبع: +