Un’inchiesta condotta da due esperti di sicurezza informatica ha sollevato nuove e pesanti preoccupazioni sull’affidabilità dei robot prodotti dalla cinese Unitree Robotics, sempre più diffusi in università, laboratori e perfino reparti di polizia. Secondo Andreas Markis e Kevin Finisterre, i modelli più recenti della casa asiatica presentano vulnerabilità tali da consentire a malintenzionati di prenderne il controllo in pochi istanti.
Il problema nasce dall’utilizzo del protocollo Bluetooth Low Energy (BLE), scelto dall’azienda per semplificare la configurazione del WiFi. Una scelta apparentemente comoda, ma che nasconde un grave difetto: l’uso di chiavi di crittografia preimpostate e identiche per tutti i dispositivi, per di più già trapelate online. In pratica, ogni robot diventa un bersaglio facile, e una sola violazione può aprire la strada all’attacco di migliaia di unità. Un rischio che in passato ha colpito spesso dispositivi IoT, ma che in questo caso riguarda macchine complesse e potenti, capaci di muoversi in spazi pubblici e privati.
La falla, ribattezzata UniPwn exploit, interessa i quadrupedi Unitree Go2 e B2 e gli umanoidi G1 e H1. Attraverso l’exploit un aggressore può ottenere privilegi da amministratore e trasformare il robot in un nodo di una rete malevola auto-propagante: in altre parole, un botnet mobile. Basta infettarne uno perché nel giro di pochi minuti anche altri robot nelle vicinanze possano essere compromessi.
A rendere la questione ancora più delicata è il comportamento del modello G1, che secondo i ricercatori invia automaticamente dati a server in Cina ogni cinque minuti senza che l’utente ne sia informato. Un flusso nascosto di informazioni che, se intercettato o sfruttato da attori ostili, potrebbe trasformare queste macchine in strumenti di sorveglianza o di attacco informatico. Come ha spiegato Markis, un attacco dimostrativo si è limitato a un riavvio forzato, ma nulla impedisce a un hacker di compiere azioni più sofisticate e dannose.
Il rapporto tra i ricercatori e Unitree non è stato dei più semplici. Markis ha dichiarato di aver già avuto in passato esperienze negative con l’azienda, accusandola di scarsa trasparenza e di lentezza nel risolvere vulnerabilità gravi. A suo avviso resta il dubbio se si tratti di mera negligenza nello sviluppo del software o di scelte intenzionali: entrambe le ipotesi destano preoccupazione.
Unitree ha comunque diffuso una nota ufficiale il 29 settembre, tramite LinkedIn, confermando di essere al lavoro per correggere i difetti e assicurando che la maggior parte delle correzioni è già pronta e sarà distribuita agli utenti nelle prossime settimane. Una dichiarazione che non ha dissipato i timori, soprattutto alla luce della sensibilità nei confronti di questo tema: parliamo infatti di robot avanzati, dotati di telecamere e sensori, che possono entrare in contatto con ambienti sensibili come campus universitari, stazioni o abitazioni.
Secondo Victor Mayoral-Vilches, fondatore di Alias Robotics, la soluzione più immediata per gli utenti è disattivare il Bluetooth e utilizzare solo connessioni WiFi sicure. Una precauzione che non risolve alla radice il problema, ma che riduce i rischi nell’attesa di aggiornamenti ufficiali.
Trump rolled YouTube into paying for his ballroom