Pesquisadores de segurança descobriram um backdoor oculto nos cães-robôs Unitree Go1, permitindo controle remoto e acesso às câmeras sem o conhecimento dos usuários. A startup thinkAwesome GmbH revelou que esses robôs possuem um serviço de túnel de acesso remoto pré-instalado, chamado CloudSail (Zhexi), que pode ser explorado por qualquer pessoa com uma chave de API e credenciais padrão. Esse serviço permite contornar firewalls e restrições de rede, criando um risco significativo de invasão.
Leia também
Especialização em IA amplia espaço da mulher em TI
Dinamarca alerta para espionagem nas telecoms
Os cães-robôs da Unitree Robotics, populares por seu baixo custo e vendidos a preços entre US$ 2.500 e US$ 8.500, compartilham o mesmo software independentemente do modelo. Seu sistema operacional roda em um minicomputador Raspberry Pi, que ativa automaticamente vários serviços ao se conectar à internet, incluindo o CloudSail. O serviço foi projetado para fornecer acesso remoto a dispositivos IoT, mas, nesse caso, abre brechas para invasores acessarem redes privadas sem restrições.
Os pesquisadores conseguiram obter a chave da API Unitree CloudSail e identificaram 1.919 dispositivos vulneráveis, dos quais pelo menos dois estavam ativos simultaneamente. Eles demonstraram que poderiam criar túneis para qualquer cliente ativo e controlar remotamente os robôs, o que inclui ativar suas câmeras e até acessar o Raspberry Pi via SSH. Embora a maioria dos dispositivos estivesse localizada na China, alguns estavam espalhados pelo mundo, incluindo universidades e redes corporativas nos EUA, Canadá, Alemanha, Austrália e Japão.
Embora não haja evidências de que o backdoor tenha sido implantado intencionalmente, os pesquisadores apontam que sua presença indica falhas graves na revisão e limpeza do código da Unitree. A descoberta também levanta preocupações sobre possíveis riscos em outros modelos da empresa, como o Go2. Se explorado por atacantes, o acesso irrestrito aos robôs pode permitir espionagem, invasões de redes internas e até comprometimento de operações críticas, especialmente em usos militares ou de busca e salvamento.
Diante dessa vulnerabilidade, os especialistas recomendam que todos os usuários dos cães-robôs da Unitree os removam imediatamente de suas redes e revisem registros para identificar possíveis invasões. A capacidade de controlar remotamente esses dispositivos sem restrições é alarmante, e a falta de transparência da Unitree em relação a esse problema reforça a necessidade de medidas urgentes para mitigar riscos.
