ИБ-исследователь Андреас Макрис обнаружил в роботах Yarbo критические уязвимости, которые открывали доступ к управлению техникой и данным владельцев. Речь идет о модульных газонокосилках, снегоуборщиках и триммерах с дистанционным управлением.
По оценке исследователя, проблема затронула более 11 000 устройств по всему миру. Внутри роботов он нашел встроенный удаленный доступ, одинаковый root-пароль и возможность сброса пароля к заводским значениям после обновления прошивки.
Что именно нашел исследователь
Макрис говорит, что атакующий мог получить доступ не к одному устройству, а ко всей экосистеме Yarbo. Через найденные ошибки он видел видеопоток с камер в реальном времени, управлял движением роботов и добирался до конфиденциальных сведений.
Среди данных, которые удалось извлечь, — GPS-координаты домов, email-адреса и пароли от Wi-Fi. Журналисты The Verge проверили часть выводов и подтвердили, что сведения действительно совпадали с реальными адресами и сетями владельцев.
Почему это опасно не только для техники
Yarbo продает не просто «умную газонокосилку», а полноценный подключенный компьютер на гусеницах с насадками. Если у такого устройства слабая защита, оно становится не отдельным гаджетом, а входной точкой в домашнюю сеть.
Именно поэтому подобные истории напоминают кейсы вроде ботнета на Android-устройствах через открытый ADB или уязвимости в cPanel, которую уже используют для кражи паролей сайтов: слабое звено в одном месте быстро превращается в проблему для всей инфраструктуры.
Бэкдор, аварийная остановка и удаленный захват
Отдельную тревогу вызвал встроенный механизм удаленного доступа. По словам Макриса, его нельзя отключить через настройки, а через него можно не только вести устройство, но и перепрограммировать его под свои задачи.
Исследователь утверждает, что через этот канал можно включать лезвия, использовать робот как часть ботнета и атаковать домашнюю сеть владельца. Даже физическая кнопка аварийной остановки, по его словам, не гарантировала защиту: удаленный оператор мог снова разблокировать технику.
В ходе демонстрации Макрис удаленно направил газонокосилку Yarbo на журналиста The Verge, лежавшего перед устройством. Это уже не история про утечку настроек, а вопрос физической безопасности.
Как отреагировала компания
Макрис опубликовал исследование вместе с CVE-идентификаторами CVE-2026-7413, CVE-2026-7414 и CVE-2026-7415, не дожидаясь полного исправления. Он объяснил это тем, что в Yarbo, по его словам, недооценивали риск и называли удаленный доступ «диагностической функцией».
После публикации компания заявила, что подготовила исправления для части проблем и работает над дополнительными мерами защиты. Среди обещанных шагов — усиление контроля удаленных сессий, журналирование действий и отдельный Security Response Center для приема отчетов об уязвимостях.
Что это говорит о рынке умных устройств
История Yarbo показывает старую проблему нового поколения техники: устройство выглядит бытовым и «дружелюбным», но внутри остается полноценным компьютером с сетью, камерой и доступом к данным. Если производитель экономит на защите, пользователь получает не помощника, а потенциальную дыру в домашней безопасности.
Для владельцев подключенной техники это еще один повод проверить, какие данные устройство собирает, кто имеет к ним доступ и можно ли отключить лишние сетевые функции. Если гаджет хранит координаты, видео и пароли, его стоит воспринимать как чувствительный элемент инфраструктуры, а не как безобидную игрушку.
Для защиты соединения в публичных сетях и снижения риска перехвата трафика можно использовать сервис безопасного интернет-соединения. Но для домашних и IoT-устройств главная защита все равно начинается с обновлений, уникальных паролей и отключения лишних удаленных функций.
Практический вывод
- Проверьте, какие подключенные устройства есть дома, и отдельно оцените их сетевые настройки.
- Убедитесь, что у каждого устройства свой пароль администратора, а не заводской вариант.
- После обновлений прошивки проверьте, не сбросились ли настройки безопасности.
- Отключите удаленный доступ, если он вам не нужен, и посмотрите, можно ли убрать лишние облачные функции.
- Не храните на умных устройствах данные, без которых можно обойтись: лишние учетные записи, старые сети Wi-Fi, адреса.
- Держите роутер и технику с камерами в отдельном сегменте домашней сети, если это поддерживается.
- Если устройство ведет себя странно, прекращает реагировать на команды или само меняет настройки, проверьте его у производителя и поставьте свежую прошивку.
- При покупке любой «умной» техники смотрите не только на функции, но и на то, как производитель закрывает уязвимости и публикует обновления.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.