- 26,761
- 46
- 8 Ноя 2022
Тысячи роботов с камерами, микрофонами и доступом к вашей сети. Что могло пойти не так?
Человек лёг под робота-газонокосилку, пока хакер из Германии удалённо управлял машиной через интернет. Эксперимент выглядел как сцена из фантастического триллера, но оказался демонстрацией реальной проблемы: тысячи роботов Yarbo по всему миру можно захватить через встроенный пароль администратора.
ИБ-специалист Андреас Макрис выяснил , что газонокосилки Yarbo используют одинаковые учётные данные для удалённого доступа. По словам Макриса, злоумышленник, получивший доступ к одному устройству, фактически получает контроль над всей экосистемой компании. Специалист составил карту с более чем 11 тысячами устройств по всему миру и около 5400 роботов в США и Европе.
Во время демонстрации Макрис подключился к работающей газонокосилке возле частного дома в штате Нью-Йорк и начал управлять машиной через интернет. Камера робота реагировала на каждое движение, а сам аппарат мог свободно перемещаться по участку. Специалисты отмечают, что подобный доступ позволяет следить за владельцами домов и изучать окружающую территорию.
Проблема оказалась куда серьёзнее обычного удалённого управления. Макрис сообщил, что системы Yarbo раскрывали адреса электронной почты владельцев, пароли от Wi-Fi и точные координаты домов. Специалисты проверили несколько адресов и подтвердили утечку. Один из владельцев техники признал, что опубликованный пароль действительно совпадает с его домашней сетью.
Yarbo выпускает многофункциональных роботов для ухода за участком. Базовая платформа с гусеницами может работать как газонокосилка, снегоуборщик или триммер. Все устройства используют полноценную систему Linux, а встроенный удалённый доступ нельзя отключить вручную. Макрис утверждает , что после обновления прошивки робот снова возвращал стандартный пароль администратора, даже если владелец менял его самостоятельно.
Специалист предупредил, что такие устройства можно превратить не только в инструмент слежки. Теоретически злоумышленники способны запускать лезвия, сканировать домашнюю сеть или объединять роботов в ботнет для атак на другие системы. Макрис также обнаружил несколько устройств рядом с объектами критической инфраструктуры, включая крупную электростанцию.
После публикации СМИ Yarbo признала проблему и выпустила экстренные обновления безопасности. Сооснователь компании Кеннет Кольманн сообщил, что разработчики временно отключили некоторые каналы удалённой диагностики, сбросили пароли администратора и перешли на уникальные учётные данные для каждого устройства. Компания также пообещала внедрить систему авторизованного удалённого доступа и создать отдельный канал для сообщений об уязвимостях.
Однако Макрис и специалисты считают меры недостаточными. По их словам, Yarbo не отказалась от встроенного удалённого доступа полностью, а лишь попыталась ограничить его использование. Дополнительные вопросы вызвало и происхождение компании. Хотя Yarbo позиционирует себя как американский производитель робототехники, бренд связан с компанией Hanyang Tech из китайского Шэньчжэня.
История с Yarbo стала ещё одним примером проблем безопасности умных устройств . The Verge отмечает, что многие современные гаджеты получают постоянный доступ к домашней сети и собирают огромный объём данных о владельцах, а производители часто уделяют защите второстепенное внимание.
Человек лёг под робота-газонокосилку, пока хакер из Германии удалённо управлял машиной через интернет. Эксперимент выглядел как сцена из фантастического триллера, но оказался демонстрацией реальной проблемы: тысячи роботов Yarbo по всему миру можно захватить через встроенный пароль администратора.
ИБ-специалист Андреас Макрис выяснил , что газонокосилки Yarbo используют одинаковые учётные данные для удалённого доступа. По словам Макриса, злоумышленник, получивший доступ к одному устройству, фактически получает контроль над всей экосистемой компании. Специалист составил карту с более чем 11 тысячами устройств по всему миру и около 5400 роботов в США и Европе.
Во время демонстрации Макрис подключился к работающей газонокосилке возле частного дома в штате Нью-Йорк и начал управлять машиной через интернет. Камера робота реагировала на каждое движение, а сам аппарат мог свободно перемещаться по участку. Специалисты отмечают, что подобный доступ позволяет следить за владельцами домов и изучать окружающую территорию.
Проблема оказалась куда серьёзнее обычного удалённого управления. Макрис сообщил, что системы Yarbo раскрывали адреса электронной почты владельцев, пароли от Wi-Fi и точные координаты домов. Специалисты проверили несколько адресов и подтвердили утечку. Один из владельцев техники признал, что опубликованный пароль действительно совпадает с его домашней сетью.
Yarbo выпускает многофункциональных роботов для ухода за участком. Базовая платформа с гусеницами может работать как газонокосилка, снегоуборщик или триммер. Все устройства используют полноценную систему Linux, а встроенный удалённый доступ нельзя отключить вручную. Макрис утверждает , что после обновления прошивки робот снова возвращал стандартный пароль администратора, даже если владелец менял его самостоятельно.
Специалист предупредил, что такие устройства можно превратить не только в инструмент слежки. Теоретически злоумышленники способны запускать лезвия, сканировать домашнюю сеть или объединять роботов в ботнет для атак на другие системы. Макрис также обнаружил несколько устройств рядом с объектами критической инфраструктуры, включая крупную электростанцию.
После публикации СМИ Yarbo признала проблему и выпустила экстренные обновления безопасности. Сооснователь компании Кеннет Кольманн сообщил, что разработчики временно отключили некоторые каналы удалённой диагностики, сбросили пароли администратора и перешли на уникальные учётные данные для каждого устройства. Компания также пообещала внедрить систему авторизованного удалённого доступа и создать отдельный канал для сообщений об уязвимостях.
Однако Макрис и специалисты считают меры недостаточными. По их словам, Yarbo не отказалась от встроенного удалённого доступа полностью, а лишь попыталась ограничить его использование. Дополнительные вопросы вызвало и происхождение компании. Хотя Yarbo позиционирует себя как американский производитель робототехники, бренд связан с компанией Hanyang Tech из китайского Шэньчжэня.
История с Yarbo стала ещё одним примером проблем безопасности умных устройств . The Verge отмечает, что многие современные гаджеты получают постоянный доступ к домашней сети и собирают огромный объём данных о владельцах, а производители часто уделяют защите второстепенное внимание.
- Источник новости
- www.securitylab.ru
