Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

Слежка, ботнет и лезвия на дистанционном управлении. Что хакер обнаружил в 11000 роботов по всему миру

leer en español

5862
Yarbo газонокосилка уязвимость пароль ботнет
Слежка, ботнет и лезвия на дистанционном управлении. Что хакер обнаружил в 11000 роботов по всему миру
Yarbo газонокосилка уязвимость пароль ботнет

Тысячи роботов с камерами, микрофонами и доступом к вашей сети. Что могло пойти не так?

image

Человек лёг под робота-газонокосилку, пока хакер из Германии удалённо управлял машиной через интернет. Эксперимент выглядел как сцена из фантастического триллера, но оказался демонстрацией реальной проблемы: тысячи роботов Yarbo по всему миру можно захватить через встроенный пароль администратора.

ИБ-специалист Андреас Макрис выяснил, что газонокосилки Yarbo используют одинаковые учётные данные для удалённого доступа. По словам Макриса, злоумышленник, получивший доступ к одному устройству, фактически получает контроль над всей экосистемой компании. Специалист составил карту с более чем 11 тысячами устройств по всему миру и около 5400 роботов в США и Европе.

Во время демонстрации Макрис подключился к работающей газонокосилке возле частного дома в штате Нью-Йорк и начал управлять машиной через интернет. Камера робота реагировала на каждое движение, а сам аппарат мог свободно перемещаться по участку. Специалисты отмечают, что подобный доступ позволяет следить за владельцами домов и изучать окружающую территорию.

Проблема оказалась куда серьёзнее обычного удалённого управления. Макрис сообщил, что системы Yarbo раскрывали адреса электронной почты владельцев, пароли от Wi-Fi и точные координаты домов. Специалисты проверили несколько адресов и подтвердили утечку. Один из владельцев техники признал, что опубликованный пароль действительно совпадает с его домашней сетью.

Yarbo выпускает многофункциональных роботов для ухода за участком. Базовая платформа с гусеницами может работать как газонокосилка, снегоуборщик или триммер. Все устройства используют полноценную систему Linux, а встроенный удалённый доступ нельзя отключить вручную. Макрис утверждает, что после обновления прошивки робот снова возвращал стандартный пароль администратора, даже если владелец менял его самостоятельно.

Специалист предупредил, что такие устройства можно превратить не только в инструмент слежки. Теоретически злоумышленники способны запускать лезвия, сканировать домашнюю сеть или объединять роботов в ботнет для атак на другие системы. Макрис также обнаружил несколько устройств рядом с объектами критической инфраструктуры, включая крупную электростанцию.

После публикации СМИ Yarbo признала проблему и выпустила экстренные обновления безопасности. Сооснователь компании Кеннет Кольманн сообщил, что разработчики временно отключили некоторые каналы удалённой диагностики, сбросили пароли администратора и перешли на уникальные учётные данные для каждого устройства. Компания также пообещала внедрить систему авторизованного удалённого доступа и создать отдельный канал для сообщений об уязвимостях.

Однако Макрис и специалисты считают меры недостаточными. По их словам, Yarbo не отказалась от встроенного удалённого доступа полностью, а лишь попыталась ограничить его использование. Дополнительные вопросы вызвало и происхождение компании. Хотя Yarbo позиционирует себя как американский производитель робототехники, бренд связан с компанией Hanyang Tech из китайского Шэньчжэня.

История с Yarbo стала ещё одним примером проблем безопасности умных устройств. The Verge отмечает, что многие современные гаджеты получают постоянный доступ к домашней сети и собирают огромный объём данных о владельцах, а производители часто уделяют защите второстепенное внимание.