Um pesquisador de segurança alemão expôs um sério conjunto de vulnerabilidades nos robôs cortadores de grama conectados à Web da Yarbo, mostrando que as máquinas podem ser acessadas e controladas remotamente de qualquer lugar do mundo. Em uma demonstração ao vivo relatada pelo The Verge, Andreas Makris conseguiu dirigir uma unidade Yarbo a quase 6.000 milhas de distância, com o repórter até deitado no caminho do cortador para mostrar o quão perigosa a falha poderia ser. A investigação disse que o problema afetou mais de 11 mil dispositivos em todo o mundo e levantou alarmes não apenas sobre privacidade, mas também sobre segurança física, porque os robôs carregam lâminas giratórias e podem operar de forma autônoma nos quintais das pessoas.
Como os hackers poderiam controlar remotamente milhares de cortadores de grama robóticos
As descobertas de Makris centraram-se num conjunto de pontos fracos nos sistemas de diagnóstico remoto, gestão de credenciais e tratamento de dados da Yarbo. O pesquisador descobriu que os robôs compartilhavam a mesma senha de root codificada, enquanto o firmware também incluía um backdoor que poderia ser usado para acesso remoto. Relatórios disseram que os dispositivos poderiam ser feitos para girar suas lâminas, sondar uma rede doméstica e, potencialmente, ser dobrados em uma botnet.O risco não se limitou ao acesso digital. Makris poderia extrair endereços de e-mail dos proprietários, senhas de Wi-Fi e as coordenadas GPS exatas de suas casas do sistema, ao mesmo tempo que acessava feeds de câmeras. Isso significava que um cortador comprometido poderia tornar-se um dispositivo de vigilância e um perigo físico. Uma demonstração ao vivo mostrou um robô controlado remotamente movendo-se em direção a um repórter, ressaltando como uma máquina comum de pátio poderia se tornar perigosa se as falhas de segurança fossem exploradas.
A escala da exposição
Makris estava rastreando mais de 11.000 dispositivos Yarbo em todo o mundo, com cerca de 5.400 mapeados nos Estados Unidos e na Europa no momento da demonstração. Os relatórios também observaram que a empresa vende robôs modulares de quintal capazes de operar como cortador de grama, soprador de folhas, soprador de neve, aparador ou biseladora, todos movidos pela mesma máquina principal. Essa arquitetura significava que as vulnerabilidades poderiam afetar potencialmente vários produtos da linha Yarbo.
Os CVEs explicam os riscos técnicos
A divulgação foi apoiada por várias vulnerabilidades de segurança monitoradas oficialmente. De acordo com o Banco de Dados Nacional de Vulnerabilidades dos EUA, uma falha envolvia um backdoor oculto dentro do firmware do Yarbo que poderia permitir acesso remoto ao robô sem autenticação adequada. Os pesquisadores disseram que o backdoor não poderia ser desativado por meio das configurações normais do usuário e permaneceria ativo mesmo após redefinições de fábrica ou atualizações de software program.Outra vulnerabilidade envolvia o sistema de comunicação MQTT do cortador, que supostamente permitia conexões anônimas sem as devidas restrições de segurança. Em termos simples, alguém na mesma rede poderia interceptar dados confidenciais ou enviar comandos diretamente ao robô.Um comunicado de segurança separado também revelou que os dispositivos Yarbo supostamente usavam o mesmo nome de usuário e senha de administrador integrados em todas as máquinas. Os pesquisadores disseram que os usuários não poderiam alterar ou remover permanentemente essas credenciais, o que significa que qualquer pessoa que as descobrisse poderia obter acesso profundo aos sistemas internos do cortador e aos controles de gerenciamento remoto.
Como Yarbo respondeu
Mais tarde, Yarbo reconheceu o problema em uma atualização oficial e disse que as principais descobertas técnicas eram precisas. A empresa disse que cortou temporariamente o acesso remoto e está trabalhando na correção, incluindo controles de acesso mais fortes, autenticação aprimorada, maior visibilidade do usuário sobre recursos de diagnóstico remoto e redução de mecanismos de suporte legados desnecessários. O relatório de acompanhamento do The Verge disse que Yarbo também pediu desculpas e criou um centro de resposta de segurança dedicado.
O que os usuários de dispositivos conectados devem tirar disso
O incidente mostra por que os proprietários devem ser cautelosos com dispositivos que dependem de acesso à nuvem e diagnóstico remoto. Para cortadores de grama robóticos e outros produtos IoT, a abordagem mais segura é manter o firmware atualizado, revisar as configurações de acesso remoto, isolar dispositivos em redes domésticas separadas sempre que possível e prestar atenção às divulgações de segurança do fornecedor. No caso de Yarbo, a resposta oficial sugere que alguma remediação está em andamento, mas a própria divulgação mostra quão rapidamente a conveniência pode se transformar em exposição quando a segurança é implementada tarde demais.
