Газонокосилка под контролем хакера: у Yarbo нашли опасные уязвимости

Газонокосилка под контролем хакера: у Yarbo нашли опасные уязвимости

Газонокосилка под контролем хакера: у Yarbo нашли опасные уязвимости

Исследователь в области безопасности Андреас Макрис обнаружил серьёзные уязвимости в роботах Yarbo — модульных садовых устройствах, которые могут работать как газонокосилки, снегоуборщики, воздуходувки, триммеры и кромкорезы. Проблема в том, что такие роботы можно удалённо перехватить, причём речь идёт не об одном устройстве, а потенциально о тысячах по всему миру.

Yarbo продаёт универсальные дворовые роботы стоимостью около 5000 долларов. В их основе один и тот же модуль на гусеницах, к которому подключаются разные насадки. И именно этот общий модуль, по словам исследователя, оказался плохо защищён.

Как утверждает Макрис, если получить доступ к одному роботу Yarbo, можно добраться и до остальных. В ходе демонстрации он показал карту примерно с 5400 устройствами в США и Европе и более чем 11 000 роботов по всему миру. Затем исследователь смог удалённо подключиться к одному из роботов в штате Нью-Йорк и управлять его камерой и движением.

Самое тревожное — это не только возможность покатать чужой гаджет по газону. Робот может передавать точные GPS-координаты, изображение с камер, адреса электронной почты владельцев и даже пароли от Wi-Fi. Журналист The Verge проверил эти данные на практике: по координатам он нашёл реальные дома владельцев Yarbo, а один из них подтвердил, что показанные исследователем пароли от Wi-Fi действительно принадлежат ему.

По словам Макриса, у всех роботов Yarbo используется одинаковый жёстко заданный root-пароль. Более того, даже если владелец вручную меняет его, обновление прошивки снова возвращает пароль к стандартному значению. Также исследователь говорит о встроенном механизме удалённого доступа, который автоматически разворачивается на каждом роботе, не может быть отключён владельцем и восстанавливается при удалении.

Злоумышленник может следить за участком через камеры робота, изучать расписание владельцев, пытаться атаковать домашнюю сеть или превращать устройство в часть ботнета. А в случае с газонокосилкой риски становятся ещё и физическими: у устройства есть лезвия, а некоторые команды позволяют обходить защитные механизмы. Макрис утверждает, что даже после нажатия аварийной кнопки остановки удалённый оператор может отправить команду разблокировки.

Чтобы показать масштаб проблемы, журналист The Verge провёл контролируемый эксперимент: лёг перед роботом Yarbo, а исследователь, находясь в Германии, удалённо управлял устройством в США. Лезвия при этом не вращались, а робот двигался задним ходом, но даже так тяжёлое устройство прижало человека к земле. Демонстрация получилась наглядной: небезопасный умный гаджет может быть опасен не только для данных, но и физически.

 

Макрис решил опубликовать информацию об уязвимостях без ожидания патчей от производителя. По его словам, у Yarbo не было понятного канала для сообщений об уязвимостях, а поддержка компании сначала описывала удалённый доступ как безопасную диагностическую функцию.

После публикации Yarbo заявила, что серьёзно относится к проблеме. Компания пообещала внедрить подтверждение удалённого доступа пользователем, более прозрачную историю сессий, усиленное журналирование, отдельный центр реагирования на уязвимости и, возможно, программу баг-баунти.

Тем не менее часть проблем, судя по описанию, находится не только в приложении или серверной логике, но и в прошивке самих роботов. А значит, Yarbo предстоит не просто подкрутить настройки, а серьёзно пересмотреть подход к безопасности устройств.

Telegram не пустит сканер в личные переписки — Дуров раскритиковал ЕС

Павел Дуров резко прошёлся по Евросоюзу из-за обсуждения закона о контроле сообщений в онлайн-сервисах. Поводом стал пост о том, что в ЕС снова продвигают инициативу Chat Control, которая может разрешить сканирование сообщений, писем и фотографий пользователей для поиска запрещённого контента.

Дуров отреагировал без дипломатических кружев. По его словам, приёмы, которые раньше были типичны для банановых республик, теперь используются в ЕС для принятия законов о слежке.

Формулировка жёсткая, но посыл понятный: основателю Telegram не нравится идея, при которой частная переписка пользователей превращается в объект автоматической проверки.

В отдельном ответе Дуров также заявил, что Telegram не будет сканировать личные сообщения пользователей, какими бы бананово-республиканскими трюками ни пользовалась ЕС. Позиция мессенджера, по его словам, остаётся прежней: личная переписка не должна становиться кормом для массового мониторинга.

Ранее Европарламент вернул на рассмотрение законопроект, который связывают с инициативой Chat Control. В разных версиях обсуждалась возможность для онлайн-сервисов добровольно сканировать пользовательский контент, включая сообщения и медиафайлы, для выявления запрещённых материалов.

Критики такой идеи считают, что под лозунгом безопасности власти фактически получают механизм массовой проверки частной коммуникации. Сторонники, напротив, говорят о борьбе с незаконным контентом и защите пользователей.

Telegram в этой истории явно выбирает сторону приватности. Дуров фактически дал понять: даже если регуляторы будут закручивать гайки, превращать личные чаты в просматриваемый коридор мессенджер не собирается. Для ЕС это очередной конфликт с крупной платформой, для пользователей — напоминание, что битва за приватность в интернете снова идёт не где-то в теории, а прямо в их переписках.

RSS: Новости на портале Anti-Malware.ru