Unitree İnsansı Robotlar Her 5 Dakikada Bir Çin’e Veri Gönderiyor, Güvenlik Endişeleri Artıyor

Siber güvenlik araştırmacıları, Unitree Robotics tarafından üretilen insansı ve dört ayaklı robotlarda kritik bir güvenlik açığı keşfetti.

20 Eylül 2025’te siber güvenlik uzmanları Andreas Markis ve Kevin Finnisterre, UniPwn adlı açığı kamuoyuna açıkladı. Açık, Unitree’nin Go2 ve B2 dört ayaklı robotları ile G1 ve H1 insansı modellerini etkiliyor. Söz konusu robotlar hâlihazırda laboratuvarlarda, üniversitelerde ve bazı polis birimlerinde kullanılmakta.

Araştırmacılara göre bu güvenlik zafiyeti, saldırganların kablosuz olarak kök (root) düzeyinde erişim elde etmesine olanak tanıyor ve robotları kendi kendini yayabilen bir botnete dönüştürüyor. Basitçe anlatmak gerekirse, bir robotun ele geçirilmesi, menzil içerisindeki diğer Unitree robotlarının da aynı şekilde ele geçirilmesine yol açabiliyor. Böylece bir grup robot tamamen hackerların kontrolüne geçebiliyor ve son derece tehlikeli bir tablo ortaya çıkıyor.

Açığın Kaynağı

Sorunun temelinde Unitree’nin WiFi kurulumunu basitleştirmek için Bluetooth Low Energy (BLE) kullanımına gitmesi yatıyor. Normalde kullanıcılar robota önce Bluetooth üzerinden bağlanıyor, ardından WiFi’ye geçiş yapıyor fakat araştırmacılar, Unitree’nin uygulamasının daha önce internete sızdırılmış hardcoded (sabitlenmiş) şifreleme anahtarlarına dayandığını keşfetti. Böyle bir durumda her cihaz hackerların gözünde aynı hale geliyor. Yani tek bir açık, binlerce robotun aynı anda ele geçirilmesine imkan tanıyor.

Kullanıcılar açısından fark genellikle saldırı, veri sızıntısı veya cihazın çalışmaz hale gelmesiyle ortaya çıkıyor. Daha da önemlisi, G1 insansı robotun kullanıcıya bilgi vermeden her beş dakikada bir Çin’deki sunuculara veri gönderdiği belirlendi. Hackerlar, robotun bilgisayarını ele geçirip onu siber saldırılar için bir araca dönüştürebiliyor.

Araştırmacılar, kolaylık sağlamak için tasarlanan bir özelliğin nasıl tam kontrol kaybına yol açabileceğini vurguladı. Andreas Markis, IEEE Spectrum’a yaptığı açıklamada şunları söyledi: “Basit bir saldırı yalnızca robotu yeniden başlatmak olabilir, bunu kavram kanıtı olarak yayınladık. Ancak bir saldırgan çok daha sofistike şeyler yapabilir.”

Yetersiz Tepki

Markis ve Finnisterre, Unitree Robotics ile iletişimlerinin tatmin edici olmadığını ve yaşadıkları hayal kırıklığını da dile getirdi.

“Onlarla iletişim kurarken bazı kötü deneyimler yaşadık” diyen Markis, daha önce Unitree Go1’de keşfettiği arka kapı açığını hatırlattı. Ardından şu soruyu yöneltti: “O halde kendimize sormalıyız — bu tür açıkları bilerek mi ekliyorlar, yoksa özensiz geliştirme mi söz konusu? Her iki cevap da aynı derecede kötü.”

29 Eylül’de Unitree, LinkedIn üzerinden yaptığı açıklamada güvenlik endişelerine değindi: “Kullanıcılarımızın robotlarımızı kullanırken güvenlik açıkları ve ağla ilgili sorunlar keşfettiğini öğrendik. Hemen bu konular üzerinde çalışmaya başladık ve düzeltmelerin büyük kısmını tamamladık. Güncellemeler yakın zamanda sizlere sunulacak.”

Düşündürten Gerçekler

Çözüm önerisi olarak, robotik siber güvenlik şirketi Alias Robotics’in kurucusu Victor Mayoral-Vilches, kullanıcıların Unitree robotlarını yalnızca WiFi üzerinden bağlamalarını ve Bluetooth’u kapatmalarını tavsiye etti.

IoT cihazlarında BLE hataları ve gizli veri aktarımı on yılı aşkın süredir ciddi sorun yaratıyor. Farklı olan nokta şu ki, artık bu açıklar laboratuvarlara, güvenlik kurumlarına ve hatta evlere girebilecek kadar güçlü robotların içinde bulunuyor. Özellikle G1’in her beş dakikada bir Çin’e veri göndermesi büyük bir endişe kaynağı olarak öne çıkıyor. Bazı kullanıcılar veri paylaşımını bekleyebilir; fakat uzmanlar altını çiziyor: şeffaflık ve güvenlik, robotik şirketler için isteğe bağlı değil, zorunlu uygulamalar olmalı.

‍

‍

‍

‍

Kaynak: https://interestingengineering.com/innovation/security-flaw-unitree-humanoids-china