Белый хакер нашел способ взломать 11 тысяч умных газонокосилок – одну из них он направил на журналиста The Verge
Исследователь в области кибербезопасности Андреас Макрис из Германии обнаружил серьёзную уязвимость в роботах-газонокосилках Yarbo. Оказалось, что все без исключения гаджеты используют одинаковый root-пароль, а значит, любой злоумышленник теоретически способен захватить управление сразу над всеми ними. Макрис составил карту, на которой отметил более 11 тысяч роботов Yarbo по всему миру.
Чтобы наглядно продемонстрировать масштаб угрозы, исследователь дистанционно взял под контроль газонокосилку журналиста The Verge Шона Холлистера, находясь при этом почти в 10 000 километров от него. "Я лежу в грязи. Она едет на меня. Потом, с рывком, взбирается мне на грудь", – описал момент Холлистер. По его словам, если бы Макрис не остановил 90-килограммового робота вовремя, лезвия могли бы пройтись прямо по телу.
Помимо физической угрозы, уязвимость открывает доступ к личным данным владельцев: Макрис продемонстрировал, что может извлечь адреса электронной почты, пароли от Wi-Fi и GPS-координаты домов пользователей. Особенно настораживает то, что даже смена root-пароля не решает проблему – при каждом обновлении прошивки гаджет автоматически сбрасывает его обратно к заводскому значению.
Более того, судя по всему, этот бэкдор для удалённого доступа к роботам был создан намеренно самой Yarbo. "Он автоматически развёртывается на каждом роботе, не может быть отключён владельцем и активно восстанавливается при удалении", – пояснил Макрис. Исследователь добавил, что нажатие кнопки экстренной остановки не спасёт ситуацию: хакер способен тут же отправить команду на повторный запуск.
Когда Макрис поделился своими находками с производителем, Yarbo отмахнулась от предупреждений, заявив, что роботы "полностью защищены и находятся под исключительным контролем владельца".
Лишь после публикации материала в The Verge, подкреплённого наглядным экспериментом с журналистом под колёсами косилки, компания признала наличие хотя бы одной из проблем. Представитель Yarbo сообщил, что патч уже готов, и пообещал ряд дополнительных мер для повышения безопасности.
- Требовавшие выкуп от Rockstar хакеры взломали образовательную платформу Canvas и похитили данные 280 миллионов учителей и учеников
- Робот-гуманоид Эдвард стал вирусной звездой, прогнав диких кабанов в Польше
- Rockstar Games подтвердила новую кибератаку, но заверила, что игрокам ничего не угрожает
Об авторе
