Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Встречайте PT NAD 13.0 — систему, способную не только выявлять угрозы в сети, но и автоматически реагировать на них

Онлайн-запуск 4 июня

Хакер захватил робота-газонокосилку и сбил на машине невиновного человека

14474
газонокосилка хакер уязвимость пароль прошивка слежка робот
Хакер захватил робота-газонокосилку и сбил на машине невиновного человека
газонокосилка хакер уязвимость пароль прошивка слежка робот

Исследователь безопасности нашел одинаковый root-пароль у тысяч роботов Yarbo и доказал, что проблема затрагивает всю линейку устройств.

image

Робот-газонокосилка весом под центнер звучит как удобный гаджет для ленивого ухода за участком, пока кто-то из другой страны не заставляет машину с острыми лезвиями забираться на человека. Именно такой эксперимент провел журналист The Verge Шон Холлистер, когда проверял находки этичного хакера Андреаса Макриса в системе Yarbo.

Холлистер лег на землю перед автономной газонокосилкой, а Макрис из Германии удаленно взял управление на себя. Машина дернулась вперед, заехала на грудь журналисту и могла провести лезвиями по телу, если бы исследователь вовремя не остановил команду. Холлистер не пострадал, но демонстрация показала главную проблему: подключенная к интернету техника с физически опасными механизмами требует безопасности уровня выше, чем у обычного умного чайника.

Макрис утверждает, что мог управлять всеми роботами Yarbo, потому что машины оказались «полностью незащищенными». По словам исследователя, даже нажатие аварийной кнопки не гарантировало остановку, поскольку удаленный оператор мог отправить новую команду и снова включить робота. Самая тревожная деталь касалась root-пароля: у всех устройств Yarbo пароль оказался одинаковым.

При таком сценарии злоумышленник мог бы получить доступ не к одной газонокосилке, а к целой сети роботов. Макрис составил карту более чем 11 000 устройств Yarbo по всему миру, фактически показав глобальную сеть подключенных машин, которые ездят по частным участкам и работают с лезвиями. Возможные последствия не ограничиваются мелким вредительством вроде порчи газона у соседа. Захват управления открывает путь к травмам, слежке, краже техники и сбору чувствительных данных.

Физическая угроза оказалась не единственной. Макрис показал, что через найденные уязвимости можно получить адреса электронной почты владельцев, пароли от Wi-Fi и GPS-координаты домов. Простая смена root-пароля тоже не решала проблему: после обновления прошивки Yarbo возвращала пароль к значению по умолчанию. По словам исследователя, удаленный доступ был встроен намеренно, автоматически разворачивался на каждом роботе, не отключался владельцем и восстанавливался после удаления.

Макрис опубликовал результаты после того, как предупреждения в адрес Yarbo не дали результата. Компания настаивала, что роботы остаются «полностью защищенными» и находятся «под исключительным контролем» владельцев. После публикации The Verge позиция Yarbo начала меняться. Представитель компании заявил, что разработчики нашли исправление как минимум для одной проблемы и готовят дополнительные улучшения безопасности.

История с Yarbo выглядит как почти карикатурный пример риска, который давно обсуждают специалисты по безопасности: чем больше «умных» устройств получают моторы, камеры, GPS и постоянное подключение к сети, тем меньше права на слабую защиту остается у производителей. Ошибка в приложении для лампочки раздражает. Ошибка в роботе с лезвиями может приехать к владельцу сама.