Aktualności, Privacy

Yarbo reaguje na wady robotów, które mogłyby zabić ich właścicieli

autor: Pieter Arntz | 11 maja 2026 r.
Kosiarka

Jeden z badaczy odkrył, że roboty ogrodowe marki Yarbo zawierają szereg luk w zabezpieczeniach, które między innymi umożliwiają atakującemu przechwycenie WiFi .

Badacz ds. bezpieczeństwa Andreas Makris odkrył, że może zdalnie przejąć kontrolę nad tysiącami robotów ogrodniczych marki Yarbo na całym świecie, i udowodnił to, pozwalając, by jego kosiarka go przejechała. Główną przyczyną była cała seria „przestarzałych” rozwiązań projektowych: wszystkie roboty miały to samo, zakodowane na stałe hasło administratora, tunele zdalnego dostępu pozostawały otwarte, a protokół komunikacyjny MQTT (Message Queuing Telemetry Transport) był tak słabo zabezpieczony, że posiadając jedno urządzenie, można było w praktyce przejąć kontrolę nad całą światową flotą.

Osoba atakująca mogłaby uzyskać dostęp do współrzędnych GPS, adresów e-mail i haseł do sieci Wi-Fi, przekształcić kamery w narzędzia do zdalnego szpiegowania, a nawet ponownie uruchomić kosiarkę po tym, jak ktoś nacisnął przycisk zatrzymania awaryjnego. 

Wszystko to było możliwe dzięki trwałemu tunelowi typu backdoor, którego użytkownicy nie mogli ani dostrzec, ani w znaczący sposób kontrolować. Zagrożenia można podzielić na trzy bardzo różne kategorie:

  • Kosiarka o dużej masie, wyposażona w zdalnie sterowane ostrza oraz wyłącznik awaryjny, który można obejść, stanowi realne zagrożenie dla bezpieczeństwa.
  • Niewłaściwie zabezpieczona telemetria umożliwiła atakującym ustalenie lokalizacji urządzeń, sprawdzenie, do kogo należą, a według niektórych doniesień nawet przeglądanie obrazu z kamer.
  • Nadużycia sieciowe wynikające z udostępnienia danych logowania do konta root oznaczały, że przejęte roboty mogły skanować lokalne sieci, wykraść więcej danych lub zostać włączone do botnetu.

Publiczna reakcja firmy Yarbo jest niezwykle szczegółowa jak na dostawcę konsumenckich rozwiązań z zakresu Internetu rzeczy (IoT). Co więcej, w sposób odświeżająco szczery przyznaje ona, że główne ustalenia badacza były trafne. Firma tymczasowo wyłączyła tunele do zdalnej diagnostyki, zresetowała hasła administratora, zablokowała nieautoryzowane punkty końcowe oraz rozpoczęła usuwanie zbędnych, przestarzałych ścieżek dostępu.

Co ważniejsze, Yarbo obiecuje zmiany strukturalne:

  • Unikalne dane uwierzytelniające dla każdego urządzenia.
  • Rotacja poświadczeń metodą Over-the-Air (OTA).
  • Zweryfikowana diagnostyka zdalna oparta na liście dozwolonych użytkowników.
  • Osoba odpowiedzialna za kwestie bezpieczeństwa, z możliwością wprowadzenia w przyszłości programu nagród za wykrycie błędów.

To właśnie ten rodzaj długoterminowych zasad bezpieczeństwa rzadko spotyka się w tak jasnym sformułowaniu po niepowodzeniu związanym z Internetem rzeczy.

Jeśli chodzi o ujawnianie informacji i usuwanie luk, firma Yarbo postępuje właściwie pod wieloma względami: podaje nazwisko badacza, przeprasza, traktuje naprawę jako priorytet oraz wyjaśnia zarówno krótkoterminowe poprawki, jak i długoterminowe zmiany architektoniczne, używając przystępnego języka. Dla nabywców urządzeń podłączonych do sieci wyposażonych w moduły „blade” taki poziom przejrzystości stanowi pozytywny precedens.

Jednak firma Yarbo zdecydowała się wyraźnie zachować tunel zdalnego dostępu – choć wyposażony w lepsze mechanizmy kontroli i rejestrowania – zamiast dać użytkownikom możliwość jego usunięcia lub całkowitej rezygnacji z niego.

Jak zabezpieczyć urządzenia IoT

Luki w zabezpieczeniach ujawnione w sprawie Yarbo stanowią niemalże praktyczny przykład tego, czemuustawa o poprawie bezpieczeństwa cybernetycznego w Internecie rzeczy (IoT Cybersecurity Improvement Act) ma zapobiegać w systemach wdrażanych przez rząd Stanów Zjednoczonych. Chociaż ustawa ta nie ma bezpośredniego zastosowania do firmy Yarbo, jej wymogi opracowane przez Narodowy Instytut Standardów i Technologii (NIST) idealnie pokrywają się z tym, co poszło nie tak w tym przypadku.

W związku z tym to użytkownicy muszą zadbać o to, aby:

  • Zmień domyślne dane logowania.
  • Przed zakupem produktu IoT sprawdź, czy producent będzie udostępniał aktualizacje i jak łatwo je zainstalować. A potem instaluj aktualizacje, gdy tylko będą dostępne.
  • Jeśli to możliwe, podłącz urządzenia IoT do osobnej sieci. Jeśli to możliwe, skorzystaj z sieci Wi-Fi dla gości lub osobnej sieci VLAN.
  • Wyłącz funkcje, których nie potrzebujesz. Wyłącz protokół UPnP, zdalny dostęp, sterowanie przez chmurę oraz zbędne usługi, jeśli nie korzystasz z nich na co dzień.
  • Jeśli router lub pakiet zabezpieczeń rejestruje połączenia z urządzeniami IoT, przejrzyj te logi pod kątem nietypowych skoków lub nieznanych miejsc docelowych.

Spójrzmy prawdzie w oczy – okno incognito ma swoje ograniczenia.

Naruszenia bezpieczeństwa, handel na dark webie, oszustwa kredytowe. Theft Malwarebytes Identity Theft monitoruje wszystkie te zagrożenia, szybko Cię o nich powiadamia i obejmuje ubezpieczenie od kradzieży tożsamości. 

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Błędy
Logo Microsoft

Wtorek z aktualizacjami – maj 2026 r.: brak luk typu zero-day, ale sporo do naprawienia

May 13, 2026

Majowa aktualizacja „Patch Tuesday” może nie być tak obszerną aktualizacją, jak wielu się spodziewało, ale zawiera mnóstwo ważnych poprawek, których nie należy ignorować.

Aktualności
Logo Claude

Fałszywe wyniki wyszukiwania dotyczące Claude’a wciągają Mac w atak ClickFix

May 12, 2026

Naukowcy odkryli kampanię ClickFix, w ramach której wykorzystuje się fałszywe instrukcje konfiguracji systemu macOS, aby nakłonić Mac do zainfekowania swoich urządzeń.

Aktualności
Grupa młodych ludzi, którzy wyglądają na szczęśliwych

Według firmy Instructure skradzione dane z platformy Canvas zostały „zwrócone” po hacker

May 12, 2026

Firma Instructure twierdzi, że skradzione dane z platformy Canvas, które dotyczyły milionów studentów i pracowników, zostały „zwrócone”. Tak jednak nie przebiegają wycieki danych.

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa