研究者は、Yarboの庭用ロボットが多くの脆弱性を持っていることを発見しました。その中には、攻撃者がWiFiパスワードを盗聴することを可能にするものも含まれていました。
セキュリティ研究者のAndreas Makris氏は、世界中の数千台のYarbo庭用ロボットを遠隔操作できることを発見し、自分の芝刈り機に轢かれることで実証しました。根本的な原因は「レガシー」設計選択の集合でした。すべてのロボットが同じハードコードされたルートパスワードを共有していたり、リモートトンネルが開いたままになっていたり、Message Queuing Telemetry Transport(MQTT)メッセージングがあまりにも弱く保護されていたため、1つのデバイスを持つと実質的に世界規模のフリートを持つことになりました。
攻撃者はGPS座標、メールアドレス、WiFiパスワードを抽出し、カメラをリモートスパイツールに変えることができました。さらには、誰かが緊急停止を押した後でも芝刈り機を再武装させることができました。
これらはすべて、ユーザーが見ることも有意に制御することもできない永続的なバックドアトンネルによって実現されました。リスクは3つの異なるカテゴリーに分かれていました:
- 遠隔操作可能なブレードを持つ重い芝刈り機で、緊急停止機能を回避できるものは現実世界の安全上の危険です。
- 公開されたテレメトリーにより、攻撃者はデバイスの位置を特定でき、所有者を特定でき、場合によってはカメラフィードを表示することさえできました。
- 共有ルート認証情報を通じたネットワーク悪用は、侵害されたロボットがローカルネットワークをスキャンし、より多くのデータを盗んだり、ボットネットに組み込まれたりする可能性があることを意味していました。
Yarboの公開対応は、消費者向けモノのインターネット(IoT)ベンダーとしては異常に詳細です。また、研究者の基本的な調査結果が正確であることを認める点でも率直です。同社は一時的にリモート診断トンネルを無効にし、ルートパスワードをリセットし、認証されていないエンドポイントを保護し、不要なレガシーアクセスパスを削除し始めました。
さらに重要なことに、Yarboは構造的な変更を約束しています:
- デバイスごとのユニークな認証情報。
- Over-the-Air(OTA)認証情報のローテーション。
- 監査済みで、ホワイトリストベースのリモート診断。
- 専任セキュリティ連絡先、その後のバグバウンティの可能性。
これはIoTの大失敗の後に、このように明確に説明されるのはめったにない長期的なセキュリティ衛生の一種です。
開示と修復の観点から、Yarboは多くのことを正しく行っています:研究者にクレジットを与え、謝罪し、修正を優先し、短期的なパッチと長期的な建築の変更の両方を人間の言葉で説明しています。刃を持つ接続デバイスの購入者にとって、その程度の透明性は前向きな先例です。
しかし、Yarboはユーザーにそれを削除またはオプトアウトするオプションを提供する代わりに、より良い制御とログで包まれた状態でリモートアクセストンネルを保つことを明確に選択しました。
IoTデバイスの安全保護方法
Yarboケースで暴露された脆弱性は、IoTサイバーセキュリティ 改善法が米国政府配置で防止しようとしていることのほぼ実際のデモです。この法律がYarboに直接適用されるわけではありませんが、その国立標準技術研究所(NIST)主導の要件は、ここで何が間違ったのかときちんと対応しています。
したがって、以下のことを確認するのはまだユーザーの責任です:
- デフォルト認証情報を変更します。
- IoT製品を購入する前に、ベンダーが更新プログラムを利用可能にするかどうか、それらをインストールするのがどのくらい簡単かを確認してください。その後、利用可能な場合は更新プログラムをインストールします。
- できれば、IoTデバイスを別のネットワークに配置してください。利用可能な場合は、ゲストWiFiまたは別のVLANを使用してください。
- 不要なものを無効にしてください。積極的に使用していない場合は、UPnP、リモートアクセス、クラウド制御、および不要なサービスをオフにします。
- ルーターまたはセキュリティスイートがIoTデバイスからの接続をログに記録する場合は、奇妙なスパイクまたは不明な宛先について、それらのログを参照してください。
直視しましょう、シークレットウィンドウだけではできることに限界があります。
違反、ダークウェブ取引、クレジット詐欺。Malwarebytes Identity Theft Protection はすべてを監視し、すばやくアラートを出し、身元盗用保険が付属しています。
