В роботах-газонокосилках нашли неотключаемый удалённый доступ
Исследователь кибербезопасности Андреас Макрис обнаружил в прошивке роботов Yarbo механизм удалённого доступа, который не может отключить владелец устройства.
Устройство Yarbo — это модульный робот, работающий как газонокосилка, триммер, снегоуборщик, воздуходувка для листьев и маленький грузовик. В Европе базовая версия стоит 5 тысяч евро, а полный набор модулей обходится в 12 тысяч евро. В режиме газонокосилки робот может обслуживать участки до 2,5 гектара, а в режиме транспортировщика — до 12,5 гектара.
На момент публикации Макрис следил примерно за 6000 роботов Yarbo. В прошивке он нашёл компонент com.yarbo.frpc, который держит постоянный исходящий FRP-туннель к серверу 98.82.87.76. Из-за него устройство само устанавливает исходящее соединение с внешним сервером, а затем к нему можно подключаться снаружи.
Через туннель пробрасывается локальный порт 22 и открывается доступ к SSH-демону устройства. В конфигурации SSH разрешён вход под root, а root-пароль жёстко зашит в прошивке и возвращается к прежнему значению после обновления, так что установка другого пароля пользователем ничего не меняет. Если у злоумышленника есть серийный номер устройства и доступ к серверу FRP, он получает root-shell на роботе без дополнительных уязвимостей. По данным исследования, этот доступ не является опцией для владельца и сам восстанавливается после попыток вмешательства.
Кроме SSH и FRP, роботы используют MQTT как основной канал команд и телеметрии. Через него можно читать телеметрию устройств и отправлять им команды, в том числе движения и аварийной остановки.
Часть телеметрии уходит в Feishu/Lark, который принадлежит ByteDance. Туда передаются серийный номер, данные о загрузке процессора, использовании памяти и диска. В прошивке также есть переход на Tencent TDMQ, причём выбор брокера для конкретного устройства делает сервер, а не владелец робота. В качестве резервных DNS используются резолверы Alibaba и 114DNS.
Макрис показал, что через такой доступ можно включать и выключать робота, управлять им на расстоянии, делать снимки с камер, получать адреса электронной почты пользователей, читать пароли к Wi‑Fi и определять точные GPS-координаты устройств. Журналист The Verge Шон Холлистер подтвердил часть этих данных после проверки у владельцев роботов. Макрис удалённо направил газонокосилку Yarbo в США на Холлистера и робот действительно наехал на него, хотя лезвия были выключены.
По словам исследователя, такой доступ позволяет не только следить за происходящим через камеры, но и устанавливать дополнительное программное обеспечение, а также использовать робота как точку входа для атак на другие устройства в той же сети.
После публикации Yarbo заявила, что исправит часть проблем, откажется от одинаковых паролей для всех устройств, усилит контроль доступа и оставит удалённый доступ только по желанию владельца, но вопрос, устранены ли все проблемы полностью, остаётся открытым.
