详细内容或原文请订阅后点击阅览
Yarbo 对可能导致主人死亡的机器人缺陷做出反应
一名研究人员在 Yarbo 花园机器人中发现了许多漏洞,这些漏洞可能会暴露 Wi-Fi 密码、劫持摄像头并根据命令碾压主人。
来源:Malwarebytes Labs 博客一名研究人员发现,Yarbo 庭院机器人存在许多漏洞,其中包括允许攻击者获取 WiFi 密码的漏洞。
安全研究员 Andreas Makris 发现他可以远程劫持全球数千个 Yarbo 庭院机器人,并通过让他的割草机碾压他来证明这一点。根本原因是一系列“遗留”设计选择:每个机器人共享相同的硬编码根密码,远程隧道保持开放,消息队列遥测传输(MQTT)消息传递的保护非常薄弱,一旦您拥有一台设备,您实际上就拥有了全球舰队。
攻击者可以获取 GPS 坐标、电子邮件地址和 Wi-Fi 密码,将摄像头变成远程间谍工具,甚至在有人紧急停止后重新启动割草机。
所有这一切都是由用户既无法看到也无法进行有意义控制的持久后门隧道实现的。风险分为三个截然不同的类别:
对于消费者物联网 (IoT) 供应商来说,Yarbo 的公开回应异常详细。它也令人耳目一新地直率地承认研究人员的核心发现是准确的。该公司暂时禁用了远程诊断隧道,重置了 root 密码,锁定了未经身份验证的端点,并开始删除不必要的遗留访问路径。
更重要的是,Yarbo 承诺进行结构性变革:
如何保护物联网设备
因此,用户仍需确保: