Unitree Go2 firmware versions 1.1.7 through 1.1.11, when used with the Unitree Go2 Android application (com.unitree.doggo2), are vulnerable to remote code execution due to missing integrity protection and validation of user-created programmes. The Android application stores programs in a local SQLite database (unitree_go2.db, table dog_programme) and transmits the programme_text content, including the pyCode field, to the robot. The robot's actuator_manager.py executes the supplied Python as root without integrity verification or content validation. An attacker with local access to the Android device can tamper with the stored programme record to inject arbitrary Python that executes when the user triggers the program via a controller keybinding, and the malicious binding persists across reboots. Additionally, a malicious program shared through the application's community marketplace can result in arbitrary code execution on any robot that imports and runs it.
Unitree Go2 robot firmware versions 1.1.7-1.1.11 contain a critical remote code execution vulnerability allowing attackers to inject arbitrary Python code executed as root through tampered programs stored in the Android application's SQLite database. An attacker with local device access can modify stored programs or distribute malicious code via the community marketplace, with persistence across reboots.
ثغرة في برامج Unitree Go2 الثابتة تسمح بتنفيذ أكواد Python عشوائية بصلاحيات جذر دون التحقق من السلامة أو صحة المحتوى. يمكن للمهاجمين الوصول محلياً إلى جهاز Android تعديل البرامج المخزنة في قاعدة البيانات أو نشر برامج ضارة عبر سوق المجتمع. البرامج الضارة تبقى نشطة حتى بعد إعادة تشغيل الروبوت.
روبوتات Unitree Go2 بإصدارات البرامج الثابتة 1.1.7-1.1.11 تحتوي على ثغرة تنفيذ أكواد بعيدة حرجة تسمح للمهاجمين بحقن أكواد Python عشوائية يتم تنفيذها كمسؤول جذر من خلال برامج معدلة مخزنة في قاعدة بيانات SQLite لتطبيق Android. يمكن لمهاجم لديه وصول محلي إلى الجهاز تعديل البرامج المخزنة أو توزيع أكواد ضارة عبر سوق المجتمع مع استمرار التأثير عبر إعادة التشغيل.
Immediately update Unitree Go2 firmware to version 1.1.12 or later. Implement code signing and integrity verification for all programs before execution. Restrict local access to Android devices running the Unitree Go2 application. Disable or moderate the community marketplace until validation mechanisms are implemented. Monitor robot activity logs for suspicious program execution patterns.
قم بتحديث برنامج Unitree Go2 الثابت فوراً إلى الإصدار 1.1.12 أو أحدث. تطبيق التوقيع الرقمي والتحقق من سلامة جميع البرامج قبل التنفيذ. تقييد الوصول المحلي إلى أجهزة Android التي تقوم بتشغيل تطبيق Unitree Go2. تعطيل أو تنظيم سوق المجتمع حتى يتم تطبيق آليات التحقق. مراقبة سجلات نشاط الروبوت للكشف عن أنماط تنفيذ برامج مريبة.