Notícias, Privacy

A Yarbo responde às falhas dos robôs que poderiam atropelar os seus donos

por Pieter Arntz | 11 de maio de 2026
Cortador de relva

Um investigador descobriu que os robôs de jardim Yarbo apresentavam uma série de vulnerabilidades que, entre outras coisas, permitiam a um invasor obter WiFi .

O investigador de segurança Andreas Makris descobriu que conseguia controlar remotamente milhares de robôs de jardim Yarbo em todo o mundo e provou-o ao deixar que o seu cortador de relva o atropelasse. A causa principal residia num conjunto de opções de design «obsoletas»: todos os robôs partilhavam a mesma palavra-passe de administrador codificada de forma rígida, os túneis remotos ficavam abertos e a comunicação via MQTT (Message Queuing Telemetry Transport) estava tão mal protegida que, bastava ter acesso a um dispositivo para, na prática, controlar toda a frota mundial.

Um invasor poderia obter coordenadas GPS, endereços de e-mail e senhas de Wi-Fi, transformar câmaras em ferramentas de espionagem à distância e até mesmo reativar o cortador de relva depois de alguém ter acionado o botão de paragem de emergência. 

Tudo isto foi possível graças a um túnel de acesso não autorizado persistente que os utilizadores não conseguiam ver nem controlar de forma significativa. Os riscos dividiam-se em três categorias muito distintas:

  • Um cortador de relva pesado com lâminas controláveis à distância e um sistema de paragem de emergência que pode ser desativado constitui um risco real para a segurança.
  • A telemetria exposta permitiu que os atacantes localizassem os dispositivos, identificassem os seus proprietários e, segundo alguns relatos, chegassem mesmo a visualizar as imagens das câmaras.
  • O abuso da rede através de credenciais de root partilhadas significava que os robôs comprometidos podiam analisar redes locais, roubar mais dados ou ser integrados numa botnet.

A resposta pública da Yarbo é invulgarmente detalhada para um fornecedor de produtos de Internet das Coisas (IoT) destinados ao consumidor. É também revigorantemente direta ao admitir que as principais conclusões do investigador estavam corretas. A empresa desativou temporariamente os túneis de diagnóstico remoto, redefiniu as palavras-passe de root, bloqueou os terminais não autenticados e começou a eliminar vias de acesso legadas desnecessárias.

Mais importante ainda, Yarbo promete mudanças estruturais:

  • Credenciais únicas por dispositivo.
  • Rotação de credenciais Over-the-Air (OTA).
  • Diagnóstico remoto auditado e baseado em listas de permissões.
  • Pessoa de contacto dedicada à segurança, com a possibilidade de um programa de recompensas por falhas de segurança a seguir.

É esse tipo de boas práticas de segurança a longo prazo que raramente vemos expostas com tanta clareza após um fiasco relacionado com a IoT.

Do ponto de vista da divulgação e da correção, a Yarbo está a agir corretamente em vários aspetos: dar crédito ao investigador, pedir desculpa, dar prioridade às correções e explicar, em linguagem simples, tanto as correções de curto prazo como as alterações arquitetónicas de longo prazo. Para os compradores de dispositivos conectados com blades, esse nível de transparência constitui um precedente positivo.

No entanto, a Yarbo optou explicitamente por manter um túnel de acesso remoto, embora dotado de melhores mecanismos de controlo e registos, em vez de oferecer aos utilizadores a opção de o remover ou de o desativar completamente.

Como proteger dispositivos IoT

As vulnerabilidades reveladas no caso Yarbo constituem praticamente uma demonstração prática do que aLei de Melhoria da Cibersegurança da Internet das Coisas(IoT Cybersecurity Improvement Act) procura evitar nas implementações do governo dos EUA. Embora a lei não se aplique diretamente à Yarbo, os seus requisitos, definidos pelo Instituto Nacional de Padrões e Tecnologia (NIST), correspondem perfeitamente ao que correu mal neste caso.

Portanto, cabe aos utilizadores certificarem-se de que:

  • Altere as credenciais predefinidas.
  • Antes de comprar um produto de IoT, verifique se o fornecedor disponibiliza atualizações e se é fácil instalá-las. Depois, instale as atualizações assim que estiverem disponíveis.
  • Se possível, coloque os seus dispositivos IoT numa rede separada. Utilize uma rede Wi-Fi para visitantes ou uma VLAN separada, quando disponível.
  • Desative o que não precisar. Desative o UPnP, o acesso remoto, o controlo na nuvem e os serviços desnecessários, caso não os esteja a utilizar ativamente.
  • Se o seu router ou pacote de segurança registar ligações de dispositivos IoT, analise esses registos para detetar picos anormais ou destinos desconhecidos.

Sejamos realistas, uma janela de navegação anónima tem as suas limitações.

Violações de segurança, comércio na dark web, fraude de cartões de crédito. Malwarebytes Identity Theft monitoriza tudo isto, alerta-o rapidamente e inclui um seguro contra roubo de identidade. 

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Insectos
Logótipo da Microsoft

Patch Tuesday de maio de 2026: sem vulnerabilidades zero-day, mas com muitas correções

maio 13, 2026

A Patch Tuesday de maio pode não ser a grande atualização que muitos esperavam, mas ainda assim inclui várias correções importantes que não devem ser ignoradas.

Notícias
Logótipo Claude

Resultados de pesquisa falsos sobre o Claude levam Mac a cair no ataque ClickFix

maio 12, 2026

Os investigadores descobriram uma campanha da ClickFix que utiliza guias de configuração falsos do Claude para induzir Mac a infetarem os seus próprios computadores.

Notícias
Um grupo de jovens com ar feliz

Os dados roubados da Canvas foram «devolvidos» após hacker , afirma a Instructure

maio 12, 2026

A Instructure afirma que os dados roubados do Canvas, que afetaram milhões de estudantes e funcionários, foram «devolvidos». Não é assim que funcionam as violações de segurança.

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes