Een Duitse beveiligingsonderzoeker heeft een ernstige reeks kwetsbaarheden in de op internet aangesloten robotmaaiers van Yarbo blootgelegd, waaruit blijkt dat de machines overal ter wereld op afstand kunnen worden benaderd en bestuurd. In een live demonstratie gerapporteerd door The Verge kon Andreas Makris een Yarbo-eenheid besturen vanaf bijna 9.000 kilometer afstand, terwijl de verslaggever zelfs in het pad van de maaier lag om te laten zien hoe gevaarlijk de fout kon zijn. Uit het onderzoek blijkt dat het probleem wereldwijd meer dan 11.000 apparaten trof en niet alleen alarm sloeg over de privacy, maar ook over de fysieke veiligheid, omdat de robots draaiende messen dragen en autonoom kunnen opereren op de binnenplaats van mensen.
Hoe hackers duizenden robotmaaiers op afstand konden besturen
De bevindingen van Makris concentreerden zich op een cluster van zwakke punten in Yarbo’s systemen voor diagnose op afstand, referentiebeheer en gegevensverwerking. De onderzoeker ontdekte dat de robots hetzelfde hardgecodeerde rootwachtwoord deelden, terwijl de firmware ook een achterdeur bevatte die voor externe toegang kon worden gebruikt. Volgens berichten zouden de apparaten zo kunnen worden gemaakt dat ze hun bladen laten draaien, een thuisnetwerk kunnen onderzoeken en mogelijk in een botnet kunnen worden gevouwen.Het risico bleef niet beperkt tot digitale toegang. Makris zou naar verluidt de e-mailadressen van eigenaren, wifi-wachtwoorden en de exacte GPS-coördinaten van hun huizen uit het systeem kunnen halen, terwijl ze ook toegang hadden tot camerafeeds. Dat betekende dat een gecompromitteerde maaier zowel een bewakingsapparaat als een fysiek gevaar kon worden. Een live demonstratie toonde een op afstand bestuurbare robot die op een verslaggever af bewoog, wat onderstreepte hoe een gewone tuinmachine gevaarlijk zou kunnen worden als de beveiligingsfouten zouden worden uitgebuit.
De schaal van de blootstelling
Makris volgde naar verluidt meer dan 11.000 Yarbo-apparaten wereldwijd, waarvan er ten tijde van de demonstratie ongeveer 5.400 in kaart waren gebracht in de Verenigde Staten en Europa. Uit rapporten blijkt ook dat het bedrijf modulaire tuinrobots verkoopt die kunnen werken als grasmaaier, bladblazer, sneeuwblazer, trimmer of kantensnijder, allemaal aangedreven door dezelfde kernmachine. Die architectuur betekende dat de kwetsbaarheden mogelijk meerdere producten in het Yarbo-assortiment konden beïnvloeden.
In de CVE’s worden de technische risico’s toegelicht
De openbaarmaking werd ondersteund door meerdere officieel bijgehouden beveiligingsproblemen. Volgens de Amerikaanse National Vulnerability Database was één fout een verborgen achterdeur in de firmware van Yarbo, waardoor externe toegang tot de robot mogelijk was zonder de juiste authenticatie. Onderzoekers zeiden dat de achterdeur niet kon worden uitgeschakeld via normale gebruikersinstellingen en actief zou blijven, zelfs na fabrieksresets of software-updates.Een andere kwetsbaarheid betrof het MQTT-communicatiesysteem van de maaier, dat naar verluidt anonieme verbindingen mogelijk maakte zonder de juiste beveiligingsbeperkingen. Simpel gezegd: iemand op hetzelfde netwerk zou mogelijk gevoelige gegevens kunnen onderscheppen of opdrachten rechtstreeks naar de robot kunnen sturen.Uit een afzonderlijk beveiligingsadvies bleek ook dat Yarbo-apparaten naar verluidt op alle machines dezelfde ingebouwde beheerdersgebruikersnaam en -wachtwoord gebruikten. Onderzoekers zeiden dat gebruikers deze inloggegevens niet permanent konden wijzigen of verwijderen, wat betekent dat iedereen die ze ontdekte mogelijk diepgaande toegang zou kunnen krijgen tot de interne systemen en de bediening op afstand van de maaier.
Hoe Yarbo reageerde
Yarbo erkende het probleem later in een officiële update en zei dat de belangrijkste technische bevindingen juist waren. Het bedrijf zei dat het de toegang op afstand tijdelijk had afgesloten en werkte aan herstel, waaronder sterkere toegangscontroles, verbeterde authenticatie, meer gebruikerszichtbaarheid over diagnostische functies op afstand en het verminderen van onnodige verouderde ondersteuningsmechanismen. In het vervolgrapport van The Verge stond dat Yarbo zich ook had verontschuldigd en een speciaal beveiligingsresponscentrum had opgericht.
Wat gebruikers van verbonden apparaten hiervan moeten leren
Het incident laat zien waarom eigenaren voorzichtig moeten zijn met apparaten die afhankelijk zijn van cloudtoegang en diagnose op afstand. Voor robotmaaiers en andere IoT-producten is de veiligste aanpak het up-to-date houden van de firmware, het controleren van de instellingen voor externe toegang, het isoleren van apparaten op afzonderlijke thuisnetwerken waar mogelijk en het letten op de beveiligingsinformatie van leveranciers. In het geval van Yarbo suggereert het officiële antwoord dat er enige herstelwerkzaamheden gaande zijn, maar de onthulling zelf laat zien hoe snel gemak kan omslaan in blootstelling als de beveiliging te laat wordt ingeschakeld.
