Газонокосилка под контролем хакера: у Yarbo нашли опасные уязвимости

Екатерина Быстрова 12 Мая 2026 - 09:05

...

Газонокосилка под контролем хакера: у Yarbo нашли опасные уязвимости

Исследователь в области безопасности Андреас Макрис обнаружил серьёзные уязвимости в роботах Yarbo — модульных садовых устройствах, которые могут работать как газонокосилки, снегоуборщики, воздуходувки, триммеры и кромкорезы. Проблема в том, что такие роботы можно удалённо перехватить, причём речь идёт не об одном устройстве, а потенциально о тысячах по всему миру.

Yarbo продаёт универсальные дворовые роботы стоимостью около 5000 долларов. В их основе один и тот же модуль на гусеницах, к которому подключаются разные насадки. И именно этот общий модуль, по словам исследователя, оказался плохо защищён.

Как утверждает Макрис, если получить доступ к одному роботу Yarbo, можно добраться и до остальных. В ходе демонстрации он показал карту примерно с 5400 устройствами в США и Европе и более чем 11 000 роботов по всему миру. Затем исследователь смог удалённо подключиться к одному из роботов в штате Нью-Йорк и управлять его камерой и движением.

Самое тревожное — это не только возможность покатать чужой гаджет по газону. Робот может передавать точные GPS-координаты, изображение с камер, адреса электронной почты владельцев и даже пароли от Wi-Fi. Журналист The Verge проверил эти данные на практике: по координатам он нашёл реальные дома владельцев Yarbo, а один из них подтвердил, что показанные исследователем пароли от Wi-Fi действительно принадлежат ему.

По словам Макриса, у всех роботов Yarbo используется одинаковый жёстко заданный root-пароль. Более того, даже если владелец вручную меняет его, обновление прошивки снова возвращает пароль к стандартному значению. Также исследователь говорит о встроенном механизме удалённого доступа, который автоматически разворачивается на каждом роботе, не может быть отключён владельцем и восстанавливается при удалении.

Злоумышленник может следить за участком через камеры робота, изучать расписание владельцев, пытаться атаковать домашнюю сеть или превращать устройство в часть ботнета. А в случае с газонокосилкой риски становятся ещё и физическими: у устройства есть лезвия, а некоторые команды позволяют обходить защитные механизмы. Макрис утверждает, что даже после нажатия аварийной кнопки остановки удалённый оператор может отправить команду разблокировки.

Чтобы показать масштаб проблемы, журналист The Verge провёл контролируемый эксперимент: лёг перед роботом Yarbo, а исследователь, находясь в Германии, удалённо управлял устройством в США. Лезвия при этом не вращались, а робот двигался задним ходом, но даже так тяжёлое устройство прижало человека к земле. Демонстрация получилась наглядной: небезопасный умный гаджет может быть опасен не только для данных, но и физически.

Макрис решил опубликовать информацию об уязвимостях без ожидания патчей от производителя. По его словам, у Yarbo не было понятного канала для сообщений об уязвимостях, а поддержка компании сначала описывала удалённый доступ как безопасную диагностическую функцию.

После публикации Yarbo заявила, что серьёзно относится к проблеме. Компания пообещала внедрить подтверждение удалённого доступа пользователем, более прозрачную историю сессий, усиленное журналирование, отдельный центр реагирования на уязвимости и, возможно, программу баг-баунти.

Тем не менее часть проблем, судя по описанию, находится не только в приложении или серверной логике, но и в прошивке самих роботов. А значит, Yarbo предстоит не просто подкрутить настройки, а серьёзно пересмотреть подход к безопасности устройств.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 12 Мая 2026 - 09:16

Серверы и дата центры Соответствие законодательству РФ Общее

Вокруг российских ЦОД могут создать защитные зоны

Вокруг центров обработки данных (ЦОД) могут появиться специальные защитные зоны. В их пределах не должны будут размещаться жилые дома и социальные объекты, которым могут мешать системы охлаждения или резервные дизель-генераторы дата-центров. Соответствующие изменения в нормативной базе могут быть подготовлены уже до конца года.

Такие меры предусмотрены Дорожной картой развития отрасли ЦОД, разработанной Аналитическим центром при правительстве.

Документ оказался в распоряжении «Известий». Ранее также сообщалось, что Дорожная карта предусматривает серьёзное упрощение процедур согласования строительства коммуникаций. Это должно сократить сроки возведения таких объектов вдвое.

Как говорится в документе, создание защитных зон вокруг ЦОД позволит избежать конфликтных ситуаций, связанных с возможным появлением рядом с дата-центрами жилых домов и социальных объектов. Их жильцам и посетителям могут мешать шум и другие неудобства, возникающие при работе таких инфраструктурных площадок. Защитные полосы вокруг ЦОД должны стать гарантией от жалоб, последующих разбирательств и административного давления.

Согласно Дорожной карте, для реализации этой меры потребуется доработать Земельный кодекс. Поправки планируется принять до конца 2026 года.

«При размещении ЦОД на территориях с активной жилой застройкой могут возникать вопросы, связанные с требованиями к уровню шума, инженерной нагрузкой и градостроительными ограничениями. В этой связи обсуждаются подходы, направленные на более чёткое территориальное планирование размещения таких объектов и предотвращение потенциальных конфликтов между инфраструктурными объектами и жилой застройкой», — такой комментарий издание получило от Минцифры. При этом в ведомстве считают некорректным называть ограничения на строительство вокруг ЦОД «зонами отчуждения».

В пресс-службе банка ВТБ подтвердили «Известиям», что проблема действительно актуальна. «В настоящее время существует проблема, когда застройщики жилых домов могут начать строительство без учёта уже существующих объектов по соседству. В результате рядом с действующим ЦОД может появиться жилой или социальный объект, что существенно осложняет или делает невозможной дальнейшую эксплуатацию дата-центра. Инициатива направлена на снижение подобных рисков для обеих сторон», — отметили в банке.

Директор по развитию и эксплуатации сети «РТК-ЦОД» Константин Степанов назвал проблему системной для крупных городов. По его словам, ситуацию усугубляет устаревшая регуляторная база. «ЦОД — объекты критической информационной инфраструктуры, которые должны продолжать работу даже при авариях на электросетях. Для этого используются резервные дизель-генераторы, создающие повышенный шум при запуске и длительной работе. При этом действующие санитарные нормативы формировались в период, когда дата-центры были значительно менее масштабными. Сегодня речь идёт о площадках на тысячи стоек и десятки мегаватт мощности», — пояснил он.

Константин Степанов также отметил, что Дорожная карта разрабатывалась при активном участии отрасли, включая профильные ассоциации и крупнейших игроков рынка. По его словам, проблема постепенно обостряется: промзоны в крупных городах, где традиционно размещаются ЦОД, всё чаще застраиваются жилыми домами.

«Проблема конфликта интересов между дата-центрами и жилой застройкой не уникальна для России — аналогичные регуляторные механизмы существуют в ряде европейских стран и в США, где для объектов критической инфраструктуры предусматриваются охранные и санитарно-защитные зоны», — отметил эксперт НТИ по перспективным и новым источникам энергии Дмитрий Высокогорский.

По его словам, сейчас в России нет специального законодательства в этой сфере, поэтому операторы ЦОД действуют в рамках собственных инженерных и договорных решений. Они устанавливают средства шумозащиты и пытаются выстраивать договорные отношения с управляющими компаниями и застройщиками.

Партнёр ComNews Research Леонид Коник считает, что главная цель предлагаемых мер — защитить ЦОД от возможного сноса, особенно с учётом высокой капиталоёмкости таких объектов. Кроме того, операторам необходим резерв для расширения мощности, и защитная зона также может помочь решить эту задачу.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!