Nieuws, Privacy

Yarbo reageert op gebreken in robots die hun eigenaren zouden kunnen omverrijden

door Pieter Arntz | 11 mei 2026
Grasmaaier

Een onderzoeker ontdekte dat de tuinrobots van Yarbo tal van kwetsbaarheden vertoonden, waardoor een aanvaller onder andere WiFi kon achterhalen.

Beveiligingsonderzoeker Andreas Makris ontdekte dat hij op afstand duizenden Yarbo-tuinrobots wereldwijd kon kapen, en bewees dit door zich door zijn eigen robotmaaier te laten overrijden. De hoofdoorzaak was een reeks verouderde ontwerpkeuzes: alle robots hadden hetzelfde, vastgeprogrammeerde root-wachtwoord, de verbindingen op afstand stonden open en de MQTT-berichtenuitwisseling (Message Queuing Telemetry Transport) was zo slecht beveiligd dat je, zodra je één apparaat in handen had, in feite de hele wereldwijde vloot onder controle had.

Een aanvaller zou GPS-coördinaten, e-mailadressen en wifi-wachtwoorden kunnen achterhalen, camera’s kunnen omvormen tot spionageapparatuur op afstand en zelfs de grasmaaier weer kunnen inschakelen nadat iemand op de noodstopknop heeft gedrukt. 

Dit alles werd mogelijk gemaakt door een permanente achterdeurtunnel die gebruikers niet konden zien en waarover ze geen enkele controle hadden. De risico’s konden in drie zeer verschillende categorieën worden onderverdeeld:

  • Een zware maaier met op afstand bedienbare messen en een noodstop die kan worden omzeild, vormt een reëel veiligheidsrisico.
  • Door de blootgestelde telemetrie konden aanvallers in kaart brengen waar apparaten zich bevonden, zien wie de eigenaar was en volgens sommige berichten zelfs camerabeelden bekijken.
  • Door misbruik van het netwerk via gedeelde root-inloggegevens konden gehackte computers lokale netwerken scannen, nog meer gegevens stelen of in een botnet worden opgenomen.

De openbare reactie van Yarbo is ongewoon gedetailleerd voor een leverancier van consumentenproducten op het gebied van het internet der dingen (IoT). Het is ook verfrissend openhartig dat het bedrijf toegeeft dat de belangrijkste bevindingen van de onderzoeker juist waren. Het bedrijf heeft de tunnels voor diagnose op afstand tijdelijk uitgeschakeld, de root-wachtwoorden gereset, niet-geverifieerde eindpunten afgesloten en is begonnen met het verwijderen van overbodige verouderde toegangspaden.

Wat nog belangrijker is, is dat Yarbo structurele veranderingen belooft:

  • Unieke inloggegevens per apparaat.
  • Rotatie van inloggegevens via OTA (Over-the-Air).
  • Gecontroleerde, op een whitelist gebaseerde diagnose op afstand.
  • Een vast contactpersoon voor beveiligingszaken, met mogelijk een bugbounty in het vooruitzicht.

Dat is het soort langetermijnmaatregelen op het gebied van informatiebeveiliging dat we zelden zo duidelijk uiteengezet zien na een IoT-fiasco.

Wat openheid en het verhelpen van problemen betreft, doet Yarbo veel dingen goed: het vermelden van de onderzoeker, het aanbieden van excuses, het prioriteren van oplossingen en het in begrijpelijke taal uitleggen van zowel tijdelijke oplossingen als structurele veranderingen op de lange termijn. Voor kopers van slimme apparaten met blades is die mate van transparantie een positief precedent.

Maar Yarbo heeft er bewust voor gekozen om een tunnel voor externe toegang te behouden, zij het met strengere controles en logboekregistratie, in plaats van gebruikers de mogelijkheid te bieden deze te verwijderen of zich er volledig van af te melden.

Hoe beveilig je IoT-apparaten?

De kwetsbaarheden die in de Yarbo-zaak aan het licht zijn gekomen, vormen een bijna levendige demonstratie van wat de IoT Cybersecurity Improvement Act tracht te voorkomen bij implementaties door de Amerikaanse overheid. Hoewel de wet niet rechtstreeks op Yarbo van toepassing is, sluiten de door het National Institute of Standards and Technology (NIST) opgestelde eisen naadloos aan bij wat hier mis is gegaan.

Het is dus nog steeds aan de gebruikers om ervoor te zorgen dat:

  • Wijzig de standaardaanmeldingsgegevens.
  • Controleer voordat u een IoT-product aanschaft of de leverancier updates beschikbaar stelt en hoe eenvoudig het is om deze te installeren. Installeer de updates vervolgens zodra ze beschikbaar zijn.
  • Zet je IoT-apparaten indien mogelijk op een apart netwerk. Gebruik een gast-wifi of een apart VLAN als dat beschikbaar is.
  • Schakel uit wat je niet nodig hebt. Schakel UPnP, externe toegang, cloudbeheer en overbodige diensten uit als je ze niet actief gebruikt.
  • Als je router of beveiligingspakket verbindingen van IoT-apparaten registreert, bekijk die logbestanden dan op opvallende pieken of onbekende bestemmingen.

Laten we eerlijk zijn: een incognitovenster heeft zo zijn beperkingen.

Datalekken, handel op het dark web, kredietfraude. Malwarebytes Identity Theft houdt dit allemaal in de gaten, waarschuwt u direct en biedt bovendien een verzekering tegen identiteitsdiefstal. 

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Privacy
Yahoo Mail-logo

Waarom Malwarebytes bepaalde omleidingen van Yahoo Mail Malwarebytes

Mei 14, 2026

Sommige gebruikers van Yahoo Mail krijgen mogelijk herhaaldelijk Malwarebytes te zien als gevolg van verbindingen op de achtergrond met verdachte domeinen van derden. Dit is de reden daarvoor.

Insecten
Microsoft-logo

Patch Tuesday in mei 2026: geen zero-days, maar wel genoeg te verhelpen

Mei 13, 2026

De Patch Tuesday van mei is misschien niet de grote update die velen hadden verwacht, maar er zitten nog steeds tal van belangrijke oplossingen in die je niet over het hoofd mag zien.

Nieuws
Claude-logo

Valse zoekresultaten voor 'Claude' lokken Mac in de ClickFix-aanval

Mei 12, 2026

Onderzoekers hebben een ClickFix-campagne ontdekt die gebruikmaakt van valse installatiehandleidingen voor Claude om Mac ertoe te verleiden hun computer te besmetten.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting