İnsansı robot teknolojileri hızla gelişirken, bu makinelerin beraberinde getirdiği güvenlik riskleri de artıyor. Siber güvenlik uzmanları, Çinli robot üreticisi Unitree’nin en yeni insansı robot serilerinde kritik bir güvenlik açığı keşfetti. 'UniPwn' adı verilen bu açık, robotların kullanıcı müdahalesi olmadan diğer Unitree robotlarına sızmasını ve yayılan bir 'robot botneti' oluşturmasını mümkün kılıyor.
Bu keşif, robotların sadece fiziksel dünyada değil, dijital güvenlik alanında da potansiyel bir saldırı vektörü haline gelebileceği endişesini doğuruyor. Özellikle Unitree'nin uygun fiyatlı robotlarının popülaritesi göz önüne alındığında, bu durum sektör için ciddi bir uyarı niteliği taşıyor.
UniPwn Nasıl Çalışıyor? Güvenlik El Sıkışmasının Şaşırtıcı Basitliği
Güvenlik araştırmacıları Andreas Makris (Bin4ryDigit) ve Kevin Finisterre, bulgularını detaylandırdıkları GitHub sayfasında, Unitree cihazları arasındaki güvenlik protokolünün ne kadar zayıf olduğunu ortaya koydu. Açığa göre, robotlar arasındaki Bluetooth Düşük Enerji (BLE) bağlantısı üzerinden yapılan güvenlik el sıkışması 'gülünç derecede basit'.
Sistemin kimlik doğrulama mekanizması, gelen şifreli paketlerde sadece 'unitree' dizesini arıyor. Bu basit kontrol, kötü niyetli bir aktörün kolayca kimlik doğrulaması taklidi yapmasına olanak tanıyor. Bağlantı kurulduktan sonra, saldırganlar root yetkileriyle (en üst düzey kontrol) komutlar enjekte edebilir ve cihazın tam kontrolünü ele geçirebilirler. Bu, UniPwn'ı insansı robotlarda kamuya açıklanan ilk kritik güvenlik açığı yapıyor.
Otonom Yayılım: 'Robot Botneti' Tehlikesi
Bu güvenlik açığını tehlikeli kılan asıl unsur, 'solucan benzeri' (wormable) yayılma yeteneğine sahip olmasıdır. Araştırmacılar, bu özelliğin potansiyel sonuçlarını şu şekilde açıklıyor:
"Enfekte olmuş bir robot, BLE menzilindeki diğer Unitree robotlarını tarayabilir ve kullanıcı müdahalesi olmadan otomatik olarak onların güvenliğini tehlikeye atarak yayılan bir robot botneti oluşturabilir."
Uzmanlar, robot botnetlerinin sadece komut kontrolü değil, aynı zamanda gizlilik ihlalleri, fiziksel hasar verme veya hassas verilerin çalınması gibi çok daha ciddi sonuçlara yol açabileceği konusunda uyarıyor. İnsansı robotların yaygınlaştığı bir çağda, bu tür bir açık, sadece yazılımsal değil, fiziksel güvenliği de tehdit eden bir siber felakete yol açabilir.
Üreticinin Yanıtı ve İhmal İddiaları
Araştırmacılar, sorumlu ifşa prosedürlerini uygulayarak Unitree'ye güvenlik açığını bildirmeye çalıştıklarını, ancak başlangıçta şirketin bu endişelere 'anlamlı bir ilgi göstermediğini' iddia etti. Bu durum, teknoloji devlerinin güvenlik raporlarını göz ardı etme eğilimine dair eleştirileri yeniden gündeme getirdi.
Ancak raporun kamuya açık hale gelmesinden sonra Unitree, LinkedIn üzerinden bir açıklama yaparak durumu ele aldı. Şirket, güvenlik açıklarının farkında olduklarını ve 'düzeltmelerin çoğunluğunu tamamladıklarını' belirtti. Unitree, kullanıcı gizliliğine ve siber güvenliğe büyük önem verdiklerini vurgulayarak, güncellemelerin yakında kullanıcılara sunulacağını taahhüt etti.
Robotik Siber Güvenlik Uzmanlarından Sert Eleştiri
Bu açıklamalara rağmen eleştiriler dinmedi. Robotik siber güvenlik şirketi Alias Robotics'in kurucusu Víctor Mayoral-Vilches, Unitree'nin diğer üreticiler gibi 'önceki güvenlik ifşalarını ve tekrarlanan ulaşım girişimlerini görmezden geldiğini' öne sürdü. Mayoral-Vilches, insansı robotları 'Saldırı Vektörleri' olarak nitelendirerek, sektördeki güvenlik protokollerinin yetersizliğine dikkat çekti.
Unitree, son yıllarda 'Uncle Bot' gibi sosyal medyada viral olan robotları ve CES'teki gösterileriyle tanınan, hızla büyüyen bir üretici. Bu son güvenlik krizi, hem tüketici hem de endüstriyel robot pazarında güvenlik standartlarının acilen yükseltilmesi gerektiğini gösteriyor.
***
Kaynak: Bu haberin hazırlanmasında, araştırmacıların ve Unitree'nin açıklamalarını içeren PC Gamer'da yayınlanan orijinal metin esas alınmıştır.
