Газонокосилка под контролем хакера: у Yarbo нашли опасные уязвимости

Газонокосилка под контролем хакера: у Yarbo нашли опасные уязвимости

Газонокосилка под контролем хакера: у Yarbo нашли опасные уязвимости

Исследователь в области безопасности Андреас Макрис обнаружил серьёзные уязвимости в роботах Yarbo — модульных садовых устройствах, которые могут работать как газонокосилки, снегоуборщики, воздуходувки, триммеры и кромкорезы. Проблема в том, что такие роботы можно удалённо перехватить, причём речь идёт не об одном устройстве, а потенциально о тысячах по всему миру.

Yarbo продаёт универсальные дворовые роботы стоимостью около 5000 долларов. В их основе один и тот же модуль на гусеницах, к которому подключаются разные насадки. И именно этот общий модуль, по словам исследователя, оказался плохо защищён.

Как утверждает Макрис, если получить доступ к одному роботу Yarbo, можно добраться и до остальных. В ходе демонстрации он показал карту примерно с 5400 устройствами в США и Европе и более чем 11 000 роботов по всему миру. Затем исследователь смог удалённо подключиться к одному из роботов в штате Нью-Йорк и управлять его камерой и движением.

Самое тревожное — это не только возможность покатать чужой гаджет по газону. Робот может передавать точные GPS-координаты, изображение с камер, адреса электронной почты владельцев и даже пароли от Wi-Fi. Журналист The Verge проверил эти данные на практике: по координатам он нашёл реальные дома владельцев Yarbo, а один из них подтвердил, что показанные исследователем пароли от Wi-Fi действительно принадлежат ему.

По словам Макриса, у всех роботов Yarbo используется одинаковый жёстко заданный root-пароль. Более того, даже если владелец вручную меняет его, обновление прошивки снова возвращает пароль к стандартному значению. Также исследователь говорит о встроенном механизме удалённого доступа, который автоматически разворачивается на каждом роботе, не может быть отключён владельцем и восстанавливается при удалении.

Злоумышленник может следить за участком через камеры робота, изучать расписание владельцев, пытаться атаковать домашнюю сеть или превращать устройство в часть ботнета. А в случае с газонокосилкой риски становятся ещё и физическими: у устройства есть лезвия, а некоторые команды позволяют обходить защитные механизмы. Макрис утверждает, что даже после нажатия аварийной кнопки остановки удалённый оператор может отправить команду разблокировки.

Чтобы показать масштаб проблемы, журналист The Verge провёл контролируемый эксперимент: лёг перед роботом Yarbo, а исследователь, находясь в Германии, удалённо управлял устройством в США. Лезвия при этом не вращались, а робот двигался задним ходом, но даже так тяжёлое устройство прижало человека к земле. Демонстрация получилась наглядной: небезопасный умный гаджет может быть опасен не только для данных, но и физически.

 

Макрис решил опубликовать информацию об уязвимостях без ожидания патчей от производителя. По его словам, у Yarbo не было понятного канала для сообщений об уязвимостях, а поддержка компании сначала описывала удалённый доступ как безопасную диагностическую функцию.

После публикации Yarbo заявила, что серьёзно относится к проблеме. Компания пообещала внедрить подтверждение удалённого доступа пользователем, более прозрачную историю сессий, усиленное журналирование, отдельный центр реагирования на уязвимости и, возможно, программу баг-баунти.

Тем не менее часть проблем, судя по описанию, находится не только в приложении или серверной логике, но и в прошивке самих роботов. А значит, Yarbo предстоит не просто подкрутить настройки, а серьёзно пересмотреть подход к безопасности устройств.

Бесплатные VPN для Android сливают трафик и светят данные пользователей

Исследователи проверили 281 популярное бесплатное VPN-приложение из Google Play и выяснили неприятный, но закономерный факт: многие из них проваливают базовую задачу VPN — защищать трафик пользователя. Проблемные приложения суммарно установили более 2,4 млрд раз.

Проверку провели (PDF) специалисты Мичиганского университета, Университета Нью-Мексико и IIT Delhi с помощью системы MVPNalyzer.

Она создана для регулярного аудита VPN для Android и показывает, что у части таких сервисов приватность существует скорее в описании, чем в реальности.

 

У 29 приложений трафик утекал мимо зашифрованного туннеля. В 24 случаях наружу уходили DNS-запросы, по которым видно, какие сайты открывает пользователь.

Ещё шесть приложений пропускали полноценный веб-трафик вне туннеля, а четыре вообще работали без шифрования. Отличный VPN, если ваша цель — чтобы вас было видно всем.

 

Самая неприятная находка — пять приложений, которые скачивали конфигурационные файлы без шифрования. Такой файл сообщает приложению, к какому серверу подключаться. Если его можно перехватить и подменить, атакующий в той же сети, например в публичном Wi-Fi, способен перенаправить VPN-подключение на свой сервер. Пользователь увидит привычное «connected», а весь трафик пойдёт через чужие руки.

 

Слежка тоже никуда не делась. 76 приложений отправляли рекламный идентификатор устройства, а 246 связывались с известными рекламными и трекинговыми серверами. Некоторые передавали модель телефона, версию ОС, размер экрана и другие данные, из которых легко собрать цифровой отпечаток. Одно приложение, по данным исследования, отправляло даже точные GPS-координаты.

Отдельный сюрприз — слабые настройки OpenVPN. Из 108 разобранных конфигураций только одна соответствовала всем проверенным практикам безопасности. Встречались устаревшие шифры вроде Blowfish и 3DES, а в отдельных случаях шифрование фактически отключалось.

RSS: Новости на портале Anti-Malware.ru