- 世界中の家庭で、数千台のYarbo芝刈り機が同一のパスワードを公開
- 研究者が、家族住宅の外にある200ポンドの芝刈り機を遠隔でハイジャック
- 脆弱なロボット芝刈り機からGPS位置情報とWiFiパスワードが漏洩
セキュリティ研究者Andreas Makrisは、Yarboロボット芝刈り機に深刻な欠陥を発見しました。この欠陥により、数千台のユニット全体で同一のデフォルト管理者認証情報を使用した遠隔アクセスが可能になっていました。
カメラ、GPS、AIマッピング機能を備えたこれらの自律型マシンは、人間の常時監視なしに30カ国以上で世界中で動作しています。
Makrisは所有者のメールアドレス、Wi-Fiパスワード、正確なGPS位置情報にアクセスすることで脆弱性を実証し、世界中の11,000台以上のデバイスを表示するライブマップをプロットしました。
武器化を待つLinuxデバイス
Yarbo芝刈り機はインターネットに接続されたLinuxシステムで動作し、公開されたコンピュータと同じように機能します。
ハッカーは理論的には刃をリモートで起動したり、近くのネットワークをスキャンしたり、デバイスをボットネットに組み立てて大規模な攻撃を実行したりできます。
Makrisは、大型発電所などの重要なサイト近くで動作するユニットが、インフラストラクチャへの潜在的リスクを増幅することに注目しました。
この脆弱性の危険性は、The Vergeのライブテスト中に実証されました。ニューヨーク州北部の家族住宅の外で動作する200ポンドの芝刈り機を制御しました。
「ロボットのカメラはそれらの各動きを反映するために回転しています」とレポートは述べており、警告しています:「彼がどこでも好きに運転し、この家族をスパイするのを止めることはほとんどありません。」
記者Sean Hollisterはドイツから約6,000マイル離れた芝刈り機の経路に横たわり、Yarboの以前のセキュリティ主張をテストしました。
実験は、外部者がいかに簡単にデバイスに指令を出したり、検出されずにローカルコントロールをオーバーライドしたりできるかを明かしました。
残念なことに、定期的なファームウェア更新はコアの問題を解決することができませんでした。デバイスが同じ弱いデフォルトパスワードにリセットされると報告されているためです。
単なるパスワード変更だけでは、これらのネットワークロボットのより深い構造的問題に対処することはできません。
中国製、ニューヨークに本社
Yarboはニューヨーク州Ronkonkomaから公開されて運営されていますが、中国深圳のHanyang Techまでさかのぼります。この二重性は、国際的に販売されるデバイスに影響を与えるセキュリティラプスの中で精査を引き起こしています。
この発見は、Makrisがこの発見を公開させ、公式なCVE開示を含めました。Yarboが問題を完全にパッチする前のことです。
批評家たちは、地理的な関係がコンシューマーハードウェアにおける製造業者アクセス機能の永続性に影響を与えるかどうかを疑問に思っています。
Yarbo共同創業者Kenneth Kohlmannは、主に米国外のVPN経由でアクセス可能なステートメントで欠陥を認めました。
同社は遠隔診断トンネルを無効にし、ルートパスワードをリセットし、認証されていないエントリーポイントを制限しました。
また、共有パスワードからデバイス固有の認証情報にシフトし、監査を含むホワイトリストベースの診断モデルを約束しました。
ただし、MakrisもHollisterも、これらの対策が説得力があるとは考えていません。同社は製造業者のリモートアクセスを完全に削除することはできず、代わりにより厳しいコントロールと監査ログを約束しています。
「内部バックドアが物議を醸しながら保持されている」と、これまでに取られた対策の評価の中でHollisterは述べました。
その決定は、バックドアスタイルのアクセスが永続的であり、製造業者が隠されたアクセスポイントを閉じることを拒否したスマートデバイスに関する広範な懸念を増幅させています。
