Уязвимость Yarbo: тысячи робокосилок приняли чужие команды

У Yarbo нашли уязвимость, которая открывала удалённый доступ к тысячам роботизированных газонокосилок через одинаковые админские пароли. Исследователь показал, что извне можно перехватить управление тяжёлой машиной и собрать чувствительные данные владельца — вплоть до Wi‑Fi.

Одинаковые пароли, доступ к почте и карта 11 000 устройств

Проблему раскрыл исследователь по безопасности Andreas Makris. По его данным, у большого числа устройств использовались идентичные дефолтные административные учётные данные. Это и стало входной дверью для удалённого доступа.

Дальше — уже вопрос масштаба. Makris утверждает, что смог получить email владельцев, Wi‑Fi пароли, а также точные GPS-координаты устройств. Отдельно он собрал «живую» карту с более чем 11 000 газонокосилок по миру. Устройства работают более чем в 30 странах и часто ездят без постоянного надзора человека.

Как это выглядело вживую: захват управления 200‑фунтовой косилкой

Риски показали не только в теории. The Verge описал демонстрацию, где удалось перехватить управление 200‑фунтовой (около 91 кг) косилкой, которая работала у семейного дома в северной части штата Нью‑Йорк.

Журналист Sean Hollister проверил прежние заявления Yarbo о безопасности практическим тестом: он «лег» на траекторию движения, находясь при этом в Германии, примерно в 6 000 миль (около 9 700 км) от устройства. По описанию The Verge, внешний оператор мог отдавать команды и при этом обходить локальные элементы управления так, что владелец мог не заметить вмешательство.

В материале The Verge отдельно подчёркивали, что камера на роботе «поворачивается» вместе с движением, и это превращает устройство не только в инструмент, но и в потенциальную точку наблюдения.

Почему это больше похоже на взлом компьютера, чем «умной техники»

Yarbo — это интернет-подключённые машины на Linux. По смыслу это маленькие компьютеры на колёсах, которые живут в домашней сети и имеют сенсоры: камеры, GPS и систему автономной навигации с AI-картографированием.

• включать механизмы

(включая ножи) по сети

• сканировать соседние устройства

и сеть вокруг

• собирать ботнет

из тысяч одинаково доступных устройств

Отдельный неприятный нюанс — география. Makris отмечал, что если такие устройства работают рядом с критическими объектами, риск для инфраструктуры растёт. В качестве примера он упоминал газонокосилки неподалёку от крупной электростанции.

Что сделала Yarbo после раскрытия уязвимости

После публикации деталей Yarbo начала закрывать проблему. Сооснователь компании Kenneth Kohlmann признал наличие уязвимостей и перечислил меры, которые команда уже внедрила.

• отключила удалённые диагностические туннели
• сбросила root-пароли
• ограничила неаутентифицированные точки входа
• перешла с общих паролей на уникальные

для каждого устройства

• пообещала диагностическую модель по allowlist и аудит

При этом Makris и Sean Hollister сочли эти шаги недостаточно убедительными. По их оценке, компания не убрала удалённый доступ производителя полностью. The Verge прямо называет это сохранением «внутреннего бэкдора», пусть и с более жёсткими ограничениями и логированием.

Ещё один технический момент, который звучит тревожно: по описанию, обычные обновления прошивки не закрывали корень проблемы, потому что могли сбрасывать устройства к тем же слабым дефолтным паролям.

Часть своих выводов Makris оформил через официальные CVE-раскрытия и опубликовал их до того, как Yarbo завершила полный патч.

По деталям уязвимости мы ориентировались на разбор Cybernews и практическую демонстрацию The Verge.