Хакер из Германии был ошеломлен, обнаружив, что он полностью контролирует газонокосилку-робота. Газонокосилка Yarbo весом более 200 фунтов, оснащенная камерами для навигации, Wi-Fi и 4G для подключения к Интернету, а также лезвиями, способными измельчить человеческое тело, обладает огромным разрушительным потенциалом, которым может воспользоваться хакер. И все же Андреас Макрис без особых усилий получил полный контроль над всеми активными роботами Ярбо по всему миру.
К счастью, у Макриса не было планов доминировать над миром с помощью своей новой армии роботов-убийц. Он исследователь безопасности, который целыми днями ищет уязвимости в технологиях, и даже он был шокирован тем, насколько легко было получить доступ ко всем роботам Ярбо по уходу за двором стоимостью 5000 долларов. Как выяснилось, каждый робот Yarbo имеет один и тот же пароль для root-доступа, а это означает, что, как только он сможет взломать одного из них, он сможет взломать весь парк и оттуда получить доступ к данным клиентов (включая видео) газонокосилок по всему миру. Сначала он связался с Ярбо, поскольку это протокол для исследователей кибербезопасности, когда обнаруживается уязвимость такого масштаба. Но вместо того, чтобы поблагодарить его, Ярбо ответил, что преуменьшил ситуацию, заявив Макрису, что недостаток был преднамеренным дизайнерским решением, призванным «обеспечить своевременные и точные решения механических или программных проблем…». Поэтому Макрис пошел на решительный шаг, проинформировав репортера The Verge, который работал с ним, чтобы подтвердить и предать гласности уязвимость.
Получив контроль над газонокосилкой Yarbo, Макрис может включить роботов в ботнет для ведения незаконной деятельности через собственную сеть владельца. Он может найти GPS-координаты владельца, электронную почту и даже пароль Wi-Fi. И это только царапает поверхность. Самая большая ошибка, которую вы можете совершить при покупке умных газонокосилок, — это покупка их у Yarbo.
Роботами-газонокосилками Yarbo можно легко управлять удаленно.
В своем собственном исследовании безопасности, опубликованном на GitHub, Макрис отмечает, что каждый робот Yarbo работает под управлением полной версии Linux, для которой пароль root идентичен для каждой модели. Отказ от участия невозможен, и пользователь не может навсегда изменить пароль, поскольку при каждом обновлении он сбрасывается на универсальный код. Еще более странно то, что он обнаружил, что телеметрия Ярбо перенаправляется на ByteDance, китайского владельца TikTok. The Verge обнаружила, что, несмотря на то, что штаб-квартира Ярбо указана в Нью-Йорке, на самом деле Ярбо, похоже, работает из Шэньчжэня, Китай. Это открытие является пугающим напоминанием о том, что следует следить за признаками взлома вашего умного дома.
The Verge подтвердил тревожные заявления Макриса, посетив некоторых владельцев Ярбо, которых он выследил. Один человек, бывший сетевой архитектор Microsoft, думал, что он справился с задачей, используя отдельную гостевую сеть со специальной фильтрацией для блейд-бота, но даже он был немного измотан, обнаружив на пороге своего дома репортера, ведомого туда машиной, которая держит его траву под контролем. Но Макрис также смог обнаружить трех роботов Ярбо недалеко от важной электростанции, один из которых, судя по всему, принадлежит аналитику по ядерной безопасности.
В конце концов Ярбо предпринял шаги по устранению некоторых уязвимостей в приложении, но наиболее серьезные опасения связаны с прошивкой устройства, которая не была исправлена. Это суровое напоминание о том, что каждое устройство, подключенное к вашей сети, является потенциальным вектором угрозы, и что не каждой компании, производящей эти устройства, можно доверять и заботиться о вашей безопасности. Есть способы сделать ваш умный дом более безопасным, но стоит дважды подумать, прежде чем подключать робота с лезвием к вашей домашней сети.
