Основы Интернет - технологий.

ИБ-исследователь Андреас Макрис (Andreas Makris) обнаружил критические проблемы в роботах компании Yarbo — модульных газонокосилках, снегоуборщиках и триммерах с дистанционным управлением. Найденные баги позволяют удаленно перехватывать контроль над устройствами, отключать аварийную остановку и получать доступ к данным владельцев. По словам Макриса, если атакующий получает доступ хотя бы к одному Yarbo, он фактически получает доступ ко всей экосистеме. Исследователь рассказал изданию The Verge, что получил доступ к камерам роботов и видеопотоку в режиме реального времени, мог управлять техникой удаленно и извлекать конфиденциальные данные пользователей, включая GPS-координаты их домов, email-адреса, пароли от Wi-Fi. Yarbo производит роботов стоимостью около 5000 долларов США. Фактически компания продает модульную платформу с гусеничным «ядром», к которому подключаются насадки для стрижки травы, уборки снега и других задач. По оценкам Макриса, в общей сложности найденным уязвимостям подвержены более 11 000 устройств по всему миру, включая примерно 5400 роботов в США и Европе. Исследователь поясняет, что проблема затрагивает встроенную Linux-систему роботов. Так, во всех устройствах используется одинаковый root-пароль, причем даже если сменить его вручную, он может автоматически сбрасываться к значениям по умолчанию при обновлении прошивки. Кроме того, в системе обнаружился встроенный механизм удаленного доступа, который вообще нельзя отключить через настройки. Макрис утверждает, что через этот бэкдор можно не только управлять движением роботов, но и перепрограммировать устройства: активировать лезвия, использовать девайс как часть ботнета или атаковать домашнюю сеть владельца. По словам специалиста, даже нажатие физической кнопки аварийной остановки не гарантирует безопасность — удаленный оператор способен снова разблокировать газонокосилку. Screenshot Журналисты проверили часть заявлений исследователя на практике. В частности, они посетили нескольких владельцев Yarbo и подтвердили, что данные, полученные через уязвимости, действительно соответствовали реальным адресам, Wi-Fi-сетям и учетным записям этих пользователей. Также во время демонстрации исследователь удаленно управлял чужой газонокосилкой Yarbo и направил ее на журналиста The Verge, лежащего перед устройством. Таким образом специалист продемонстрировал, что уязвимости позволяют полностью перехватывать контроль над роботами и обходить защиту, блокируя даже аварийную остановку. Один из владельцев устройств, бывший сетевой архитектор Yahoo и Microsoft Мэтт Петач (Matt Petach), сравнил ситуацию с «бензопилой без тормоза и защиты». По его словам, пользователи слишком часто воспринимают подобные гаджеты как «дружелюбных помощников», хотя фактически это полноценные компьютеры с доступом ко всей домашней инфраструктуре. Макрис опубликовал исследование вместе с CVE-идентификаторами уязвимостей (CVE-2026-7413, CVE-2026-7414 и CVE-2026-7415), не дожидаясь полного исправления обнаруженных проблем. Он объяснил это тем, что представители Yarbo якобы не воспринимали угрозу всерьез и долгое время называли удаленный доступ к устройствам «диагностической функцией». После публикации исследования в открытом доступе представители Yarbo заявили, что уже подготовили исправления для части проблем и работают над дополнительными механизмами защиты. В компании пообещали улучшить контроль удаленных сессий, добавить логи действий и создать отдельный Security Response Center для приема отчетов об уязвимостях. При этом исследователь подчеркивает, что Yarbo — лишь один из примеров растущей проблемы небезопасных IoT-устройств. По его словам, многие современные «умные» гаджеты получают слишком широкие сетевые возможности и при этом практически не защищены от удаленного захвата.