Notícias, Privacy

Yarbo responde às falhas dos robôs que poderiam atropelar seus donos

por Pieter Arntz | 11 de maio de 2026
Cortador de grama

Um pesquisador descobriu que os robôs de jardim da Yarbo apresentavam uma série de vulnerabilidades que, entre outras coisas, permitiam que um invasor obtivesse WiFi .

O pesquisador de segurança Andreas Makris descobriu que era possível sequestrar remotamente milhares de robôs de jardim da marca Yarbo em todo o mundo e provou isso ao fazer com que seu próprio cortador de grama o atropelasse. A causa principal foi um conjunto de escolhas de design “obsoletas”: todos os robôs compartilhavam a mesma senha de root codificada no hardware, os túneis remotos ficavam abertos e a proteção do protocolo MQTT (Message Queuing Telemetry Transport) era tão fraca que, ao obter controle de um único dispositivo, era possível controlar efetivamente toda a frota mundial.

Um invasor poderia obter coordenadas de GPS, endereços de e-mail e senhas de Wi-Fi, transformar câmeras em ferramentas de espionagem remota e até mesmo reativar o cortador de grama depois que alguém acionasse a parada de emergência. 

Tudo isso foi possibilitado por um túnel de backdoor persistente que os usuários não podiam ver nem controlar de forma significativa. Os riscos se dividiam em três categorias bem distintas:

  • Um cortador de grama pesado com lâminas controláveis remotamente e um botão de parada de emergência que pode ser desativado representa um risco real à segurança.
  • A telemetria exposta permitia que os invasores localizassem os dispositivos, identificassem seus proprietários e, segundo alguns relatos, chegassem até a visualizar as imagens das câmeras.
  • O uso indevido da rede por meio de credenciais de root compartilhadas significava que os robôs comprometidos podiam escanear redes locais, roubar mais dados ou ser incorporados a uma botnet.

A resposta pública da Yarbo é excepcionalmente detalhada para um fornecedor de produtos de Internet das Coisas (IoT) voltados para o consumidor. Além disso, é revigorantemente direta ao admitir que as principais conclusões do pesquisador estavam corretas. A empresa desativou temporariamente os túneis de diagnóstico remoto, redefiniu as senhas de root, bloqueou terminais não autenticados e começou a eliminar caminhos de acesso legados desnecessários.

Mais importante ainda, Yarbo promete mudanças estruturais:

  • Credenciais exclusivas para cada dispositivo.
  • Rotação de credenciais Over-the-Air (OTA).
  • Diagnóstico remoto auditado e baseado em lista de permissões.
  • Contato específico para questões de segurança, com a possibilidade de um programa de recompensa por falhas a seguir.

Esse é o tipo de prática de segurança de longo prazo que raramente vemos explicada com tanta clareza após um fiasco relacionado à IoT.

Do ponto de vista da divulgação e da correção, a Yarbo está agindo corretamente em vários aspectos: reconhecendo o mérito do pesquisador, pedindo desculpas, priorizando as correções e explicando tanto as soluções provisórias de curto prazo quanto as mudanças arquitetônicas de longo prazo em linguagem acessível. Para os compradores de dispositivos conectados com blades, esse nível de transparência constitui um precedente positivo.

Mas a Yarbo optou explicitamente por manter um túnel de acesso remoto, embora envolto em controles e registros mais rigorosos, em vez de oferecer aos usuários a opção de removê-lo ou desativá-lo completamente.

Como proteger dispositivos IoT

As vulnerabilidades reveladas no caso Yarbo constituem praticamente uma demonstração prática do que aLei de Melhoria da Segurança Cibernética da IoT( ) procura evitar nas implantações do governo dos EUA. Embora a lei não se aplique diretamente à Yarbo, seus requisitos, estabelecidos pelo Instituto Nacional de Padrões e Tecnologia (NIST), correspondem perfeitamente ao que deu errado neste caso.

Portanto, cabe aos usuários garantir que:

  • Altere as credenciais padrão.
  • Antes de comprar um produto de IoT, verifique se o fabricante disponibilizará atualizações e se é fácil instalá-las. E, quando estiverem disponíveis, instale as atualizações.
  • Se possível, conecte seus dispositivos IoT a uma rede separada. Use uma rede Wi-Fi para visitantes ou uma VLAN separada, quando disponível.
  • Desative o que não for necessário. Desative o UPnP, o acesso remoto, o controle via nuvem e os serviços desnecessários, caso não os esteja utilizando ativamente.
  • Se o seu roteador ou pacote de segurança registrar conexões de dispositivos IoT, verifique esses registros em busca de picos incomuns ou destinos desconhecidos.

Vamos ser sinceros: uma janela anônima tem suas limitações.

Violações de dados, comércio na dark web, fraudes de crédito. Malwarebytes Identity Theft monitora tudo isso, avisa você rapidamente e inclui um seguro contra roubo de identidade. 

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
lembrar senhas

A Microsoft está alterando o comportamento Edgeem relação às senhas em texto simples

Maio 18, 2026

As senhas salvas no Microsoft Edge não Edge mais armazenadas em texto simples na memória durante toda a sessão do navegador, após um pesquisador ter levantado preocupações a esse respeito.

Notícias
semana em segurança

Uma semana no setor de segurança (maio 11 – maio 17)

Maio 18, 2026

Uma lista dos assuntos que abordamos na semana de 11 a 17 de maio de 2026

Podcast
Um cadeado ilustrado é montado em um suporte de microfone com ondas sonoras emitidas pelo dispositivo.

A IA está distorcendo o Holocausto (Lock and Code, 7ª temporada, episódio 10)

Maio 17, 2026

Nesta semana, no podcast Lock and Code, conversamos com Clara Mansfeld sobre como as imagens geradas por IA estão distorcendo a história do Holocausto.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes