Redazione RHC : 28 Settembre 2025 18:08
Dato che si inizia a parlare incessantemente di robot umanoidi e intelligenza artificiale, gli hacker hanno voluto dare una guardatina a questa nuova tecnologia che sempre di più invaderà lo spazio del nostro futuro. E non è andata bene.
Il 27 settembre 2025 sono emerse nuove preoccupazioni riguardo ai robot prodotti dalla cinese Unitree Robotics, dopo la segnalazione di serie vulnerabilità che potrebbero esporre migliaia di dispositivi a rischi di controllo remoto e utilizzo malevolo.
Secondo quanto riportato da IEEE Spectrum giovedì 25 settembre, i ricercatori hanno individuato una falla critica nel sistema Bluetooth Low Energy (BLE) utilizzato dai robot dell’azienda per la configurazione iniziale della rete WiFi. Tale debolezza consentirebbe a un aggressore di ottenere i privilegi di root sul sistema Android dei dispositivi, acquisendone il controllo totale.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il ricercatore di sicurezza Andreas Makris ha spiegato che, una volta compromesso un robot, l’infezione può diffondersi automaticamente ad altri dispositivi Yushu nel raggio di azione del Bluetooth, trasformandoli in una botnet in grado di replicarsi senza intervento umano.
Il meccanismo di autenticazione appare particolarmente fragile: i robot Unitree consentono l’accesso semplicemente attraverso la crittografia di una stringa hardcoded, “unitree”. In questo modo un attaccante potrebbe inserire codice arbitrario mascherato da SSID e password della rete WiFi. Nel momento in cui il robot tenta la connessione, il codice verrebbe eseguito con privilegi di amministratore, senza alcuna verifica aggiuntiva.
Makris ha aggiunto che un exploit di questo tipo potrebbe persino impedire l’aggiornamento del firmware da parte dell’utente, lasciando i dispositivi permanentemente vulnerabili e aprendo la strada a un controllo di massa. Tra i modelli interessati risultano i cani robot quadrupedi Go2 e B2 e i robot umanoidi G1 e H1. È la prima volta che una falla di tale portata viene resa pubblica su una piattaforma robotica umanoide commerciale.
I ricercatori hanno contattato Unitree Robotics già a maggio 2025, ma dopo diversi tentativi di comunicazione senza risultati, l’azienda avrebbe smesso di rispondere lo scorso luglio. La mancanza di collaborazione ha spinto alla divulgazione pubblica della vulnerabilità. Makris ha ricordato inoltre di aver già identificato in passato una backdoor nel modello Yushu Go1, sollevando dubbi sull’origine di tali falle: se siano frutto di negligenza nello sviluppo o di implementazioni intenzionali.
Un’ulteriore segnalazione è arrivata da Victor Mayoral-Vilches, fondatore di Alias Robotics, secondo cui i robot Yushu inviano ai server cinesi dati di telemetria che potrebbero includere informazioni audio, video e spaziali. Mayoral-Vilches ha evidenziato come questi dispositivi siano ampiamente diffusi a livello globale, ma molti utenti non siano consapevoli dei rischi legati al loro utilizzo. In attesa di risposte ufficiali, l’esperto consiglia agli utilizzatori di collegare i robot esclusivamente a reti WiFi isolate e di disattivarne la connettività Bluetooth come misura di protezione immediata.
Le preoccupazioni non riguardano solo la sfera privata. Ad agosto 2025, la città di Taipei ha impiegato il modello Go2 per attività di pattugliamento urbano, scelta che ha suscitato interrogativi sulla sicurezza dei dati. Già il 5 maggio 2025 la Commissione speciale della Camera dei Rappresentanti degli Stati Uniti sulla concorrenza strategica con la Cina aveva inviato una lettera al Segretario alla Difesa, al Segretario al Commercio e al presidente della Federal Communications Commission, avvertendo che Yushu “rappresenta una minaccia crescente per la sicurezza nazionale”.
Secondo quanto riportato, i robot dell’azienda sarebbero già stati adottati in contesti sensibili come prigioni, corpi di polizia e basi militari statunitensi. La presenza di backdoor e la possibilità di sorveglianza remota hanno spinto alcuni osservatori a definirli “cavalli di Troia con telecamere”.
Ad oggi, Unitree Robotics non ha rilasciato alcun commento ufficiale.
RedazioneIl 20 settembre scorso abbiamo riportato di un attacco informatico che ha paralizzato diversi aeroporti europei tra cui Bruxelles, Berlino e Londra-Heathrow. Si è trattato di un attacco alla supply c...
Il sistema penitenziario rumeno si è trovato al centro di un importante scandalo digitale: i detenuti di Târgu Jiu hanno hackerato la piattaforma interna dell’ANP e, per diversi mesi, hanno gestit...
Le autorità del Wisconsin hanno deciso di andare oltre la maggior parte degli altri stati americani nel promuovere la verifica obbligatoria dell’età per l’accesso a contenuti per adulti. L’AB ...
Il 10 ottobre 2025 le autorità lettoni hanno condotto una giornata di azione che ha portato all’arresto di cinque cittadini lettoni sospettati di gestire un’articolata rete di frodi telematiche. ...
Il CERT-AGID ha rilevato una nuova variante del phishing ai danni di PagoPA. La campagna, ancora a tema multe come le precedenti, sfrutta questa volta un meccanismo di open redirect su domini legittim...
