«Белый хакер» Андреас Макрис обнаружил бэкдор в софте садовых роботов компании Yarbo, которые работают как газонокосилки, снегоуборщики, воздуходувки, триммеры и кромкорезы. Он смог получить доступ к ним и дистанционно сымитировать наезд на человека.
Макрис показал карту с более чем 11000 устройств по всему миру. Он подключился к одному из роботов в штате Нью-Йорк, чтобы управлять его камерой и движением. Также робот мог передавать точные GPS-координаты, изображение с камер, адреса электронной почты владельцев и даже пароли от Wi-Fi.
Журналист The Verge Шон Холлистер по координатам нашёл реальные дома владельцев Yarbo, и один из них подтвердил, что пароли от Wi-Fi действительно принадлежат ему.
Во время другой демонстрации Макрис из Германии сымитировал наезд 90-килограммового газонокосильщика на Холлистера. «У этих роботов есть лезвия — и хакеры могут использовать встроенные команды робота, чтобы обойти его функции безопасности. Даже если вы нажмете большую красную кнопку аварийной остановки на самой газонокосилке, хакер может отправить другую команду, чтобы разблокировать её», — отмечает журналист.
Отмечается, что разработчики роботов могли предусмотреть бэкдор специально. Устройства Yarbo имеют и тот же корневой пароль, а даже при его изменении после каждого обновления прошивки он сбрасывается по умолчанию. Компания объясняла это якобы необходимостью техподдержки для удалённой диагностики.
Макрис решил опубликовать свои исследования, не дав Yarbo времени исправить проблему, так как не смог найти контакт по вопросам безопасности или программу вознаграждения за обнаружение ошибок. Спустя сутки Yarbo подробно изложила свой план по устранению проблем с безопасностью.
Стоит отметить, что Yarbo — это другое название компании Hanyang Tech, базирующейся в Шэньчжэне. Там заявили, что предпримут действия на основе исследования Макриса. Так, Yarbo нашла решение как минимум одной проблемы, связанной с обработкой разрешений в части процесса обмена данными между приложением и бэкенд-сервисами. Компания также «активно внедряет механизм подтверждения доступа клиентов в приложении, обеспечивает более чёткую видимость сессий, более надёжное ведение журналов аудита и историю доступа для клиентов, чтобы удалённый диагностический доступ был прозрачным, ограниченным и отзываемым». Наконец, менеджмент рассматривает возможность запуска программы вознаграждения за обнаружение ошибок.
Ранее исследователь Сэмми Аздуфаль рассказал, что хотел дистанционно управлять своим новым пылесосом DJI Romo с помощью геймпада PS5. Он вскрыл уязвимость в работе многих роботов-пылесосов через взаимодействие с серверами DJI и потенциально мог бы управлять 7000 устройств по всему миру.
ссылка на оригинал статьи https://habr.com/ru/articles/1035054/