据Axios报道,中国制造商宇树科技很受欢迎的Go1机器狗中存在漏洞,以致于任何人都能监控全球用户。两名安全研究人员 安德烈亚斯·马克里斯和凯文·芬尼斯特尔,称他们在使用自己的Go1时发现了这个问题。
任何人只要发现这个面向公众的Web API,就可以看到Go1机器狗的位置——如果机器狗在线,还可以在不登录的情况下查看其实时摄像头画面。
如果机器人使用的树莓派默认账号没有被更改,攻击者还可以利用这些凭证完全控制机器狗。
Unitree今天上午在声明中表示,更新型号——如Go2和人形机器人——已经配备了“更安全的升级版本”,不受该漏洞影响。Unitree还表示,“黑客非法获取了第三方云隧道服务的管理密钥”,并“使用该密钥以高级权限修改用户设备内的数据和程序”。
Unitree称,已完全关闭导致Go1后门存在的服务,但也指出这一功能是“市场上许多机器人普遍具备的特性”。
时间线
- 2023-12-02(星期六):通过 Twitter 向供应商报告可疑但未经证实的后门功能
- 2025-03-21(星期五):在 Twitter 上披露
- 2025-03-21(星期五):在 GitHub 上披露
- 2025-03-21(星期五):在 LinkedIn 上披露
- 2025-03-22(星期六):通过电子邮件向供应商披露
- 2025-03-23(星期日):由供应商静默修补
- 2025-03-24(星期一):Cybernews 记者 Ernestas Naprys 报道
- 2025-03-26(星期三):联系 AHA!寻求披露协调协助。
- 2025-03-27 (Thu): 在 AHA 演示!会议0x00de
- 2025-03-27 (Thu):CVE-2025-2894 的公开披露