Un ricercatore tedesco nel campo della sicurezza ha rivelato una serie di vulnerabilità nei robotic rasaerba Yarbo connessi a Web, dimostrando che è possibile accedere e controllare le macchine in remoto da qualsiasi parte del mondo. In una dimostrazione dal vivo riportata da The Verge, Andreas Makris è stato in grado di guidare un’unità Yarbo da quasi 6.000 miglia di distanza, con il giornalista addirittura sdraiato sul percorso del tosaerba per mostrare quanto pericoloso potesse essere il difetto. L’indagine ha affermato che il problema ha interessato più di 11.000 dispositivi in tutto il mondo e ha sollevato allarmi non solo sulla privateness, ma anche sulla sicurezza fisica, perché i robotic trasportano lame rotanti e possono operare autonomamente nei cortili delle persone.
Come gli hacker possono controllare da remoto migliaia di rasaerba robotizzati
Le scoperte di Makris si sono focus su una serie di punti deboli nei sistemi di diagnostica remota, gestione delle credenziali e gestione dei dati di Yarbo. Il ricercatore ha scoperto che i robotic condividevano la stessa password di root codificata, mentre il firmware includeva anche una backdoor che poteva essere utilizzata per l’accesso remoto. I rapporti affermano che i dispositivi potrebbero essere fatti girare le loro pale, sondare una rete domestica e potenzialmente essere piegati in una botnet.Il rischio non si limitava all’accesso digitale. Secondo quanto riferito, Makris potrebbe estrarre dal sistema gli indirizzi e-mail dei proprietari, le password Wi-Fi e le esatte coordinate GPS delle loro case, accedendo anche ai feed delle telecamere. Ciò significava che un tosaerba compromesso poteva diventare sia un dispositivo di sorveglianza che un pericolo fisico. Una dimostrazione dal vivo ha mostrato un robotic controllato a distanza che si muoveva verso un giornalista, sottolineando come una normale macchina da cantiere potrebbe diventare pericolosa se venissero sfruttate le falle di sicurezza.
La scala dell’esposizione
Secondo quanto riferito, Makris stava monitorando più di 11.000 dispositivi Yarbo in tutto il mondo, di cui circa 5.400 mappati negli Stati Uniti e in Europa al momento della dimostrazione. I rapporti hanno inoltre rilevato che l’azienda vende robotic da giardino modulari in grado di funzionare come tosaerba, soffiatore di foglie, spazzaneve, trimmer o molatrice, tutti alimentati dalla stessa macchina principale. Quell’architettura significava che le vulnerabilità potevano potenzialmente influenzare più prodotti della gamma Yarbo.
I CVE spiegano i rischi tecnici
La divulgazione period supportata da molteplici vulnerabilità di sicurezza tracciate ufficialmente. Secondo il Nationwide Vulnerability Database degli Stati Uniti, una falla riguardava una backdoor nascosta all’interno del firmware di Yarbo che poteva consentire l’accesso remoto al robotic senza un’adeguata autenticazione. I ricercatori hanno affermato che la backdoor non può essere disabilitata tramite le normali impostazioni dell’utente e rimarrebbe attiva anche dopo il ripristino delle impostazioni di fabbrica o gli aggiornamenti del software program.Un’altra vulnerabilità riguardava il sistema di comunicazione MQTT del rasaerba, che secondo quanto riferito consentiva connessioni anonime senza adeguate restrizioni di sicurezza. In termini semplici, qualcuno sulla stessa rete potrebbe potenzialmente intercettare dati sensibili o inviare comandi direttamente al robotic.Un avviso di sicurezza separato ha inoltre rivelato che, secondo quanto riferito, i dispositivi Yarbo utilizzavano lo stesso nome utente e password dell’amministratore integrati su tutte le macchine. I ricercatori hanno affermato che gli utenti non possono modificare o rimuovere in modo permanente queste credenziali, il che significa che chiunque le scopra potrebbe potenzialmente ottenere un accesso approfondito ai sistemi interni del rasaerba e ai controlli di gestione remota.
Come ha risposto Yarbo
Yarbo ha successivamente riconosciuto il problema in un aggiornamento ufficiale e ha affermato che i risultati tecnici principali erano accurati. La società ha dichiarato di aver interrotto temporaneamente l’accesso remoto e di stare lavorando a soluzioni correttive, tra cui controlli di accesso più forti, autenticazione migliorata, maggiore visibilità dell’utente sulle funzionalità di diagnostica remota e riduzione dei meccanismi di supporto legacy non necessari. Il rapporto di follow-up di The Verge afferma che anche Yarbo si è scusato e ha creato un centro di risposta alla sicurezza dedicato.
Cosa dovrebbero trarre da questo gli utenti dei dispositivi connessi
L’incidente dimostra perché i proprietari dovrebbero essere cauti nei confronti dei dispositivi che dipendono dall’accesso al cloud e dalla diagnostica remota. Per i rasaerba robotizzati e altri prodotti IoT, l’approccio più sicuro consiste nel mantenere aggiornato il firmware, rivedere le impostazioni di accesso remoto, isolare i dispositivi su reti domestiche separate ove possibile e prestare attenzione alle informative sulla sicurezza dei fornitori. Nel caso di Yarbo, la risposta ufficiale suggerisce che alcuni rimedi sono in corso, ma la divulgazione stessa mostra quanto velocemente la convenienza possa trasformarsi in esposizione quando la sicurezza viene implementata troppo tardi.
