Исследовательница под ником BobDaHacker выявила критическую уязвимость в административной панели китайской компании Pudu Robotics — одного из крупнейших в мире производителей коммерческих сервисных роботов. Уязвимость позволяла злоумышленникам перехватывать управление роботами и отдавать им произвольные команды.
Компания Pudu выпускает свыше 100 тысяч роботов, которые работают в более чем 1000 городов. Среди её продуктов — ресторанные роботы BellaBot в виде кошек и FlashBot с манипуляторами, способные управлять лифтами и другими системами. По данным на текущий момент, Pudu контролирует около 23% мирового рынка сервисной робототехники.
Проблема заключалась в том, что доступ к админ-панели не был должным образом ограничен. Получив токен авторизации, хакеры могли свободно управлять устройствами. Такой токен можно было получить либо через XSS-атаку, либо зарегистрировав тестовый аккаунт — процесс, не сопровождавшийся дополнительными проверками.
В результате потенциальный злоумышленник получал возможность вмешиваться в работу роботов: изменять заказы, перемещать устройства, переименовывать их, а также выполнять более опасные действия — например, саботировать работу ресторанов или офисов, нарушать работу систем автоматизации и даже получать доступ к интеллектуальной собственности.
BobDaHacker уведомила компанию об уязвимости 12 августа, но ни техническая поддержка, ни другие отделы Pudu на обращение не отреагировали. Позже исследовательница разослала уведомления более чем 50 сотрудникам компании, но и тогда не получила ответа.
Только после того, как она связалась с клиентами Pudu, включая японские сети Skylark Holdings и Zensho, компания наконец отреагировала — однако ответ пришёл спустя 48 часов и представлял собой шаблонное письмо с незаполненным плейсхолдером [Your Email Address], что указывало на автоматическую обработку сообщения.
В конечном итоге Pudu Robotics устранила уязвимость и усилила защиту своих систем, однако публичных комментариев по инциденту от компании так и не последовало.
Компания Pudu выпускает свыше 100 тысяч роботов, которые работают в более чем 1000 городов. Среди её продуктов — ресторанные роботы BellaBot в виде кошек и FlashBot с манипуляторами, способные управлять лифтами и другими системами. По данным на текущий момент, Pudu контролирует около 23% мирового рынка сервисной робототехники.
Проблема заключалась в том, что доступ к админ-панели не был должным образом ограничен. Получив токен авторизации, хакеры могли свободно управлять устройствами. Такой токен можно было получить либо через XSS-атаку, либо зарегистрировав тестовый аккаунт — процесс, не сопровождавшийся дополнительными проверками.
В результате потенциальный злоумышленник получал возможность вмешиваться в работу роботов: изменять заказы, перемещать устройства, переименовывать их, а также выполнять более опасные действия — например, саботировать работу ресторанов или офисов, нарушать работу систем автоматизации и даже получать доступ к интеллектуальной собственности.
BobDaHacker уведомила компанию об уязвимости 12 августа, но ни техническая поддержка, ни другие отделы Pudu на обращение не отреагировали. Позже исследовательница разослала уведомления более чем 50 сотрудникам компании, но и тогда не получила ответа.
Только после того, как она связалась с клиентами Pudu, включая японские сети Skylark Holdings и Zensho, компания наконец отреагировала — однако ответ пришёл спустя 48 часов и представлял собой шаблонное письмо с незаполненным плейсхолдером [Your Email Address], что указывало на автоматическую обработку сообщения.
В конечном итоге Pudu Robotics устранила уязвимость и усилила защиту своих систем, однако публичных комментариев по инциденту от компании так и не последовало.
