- 何千台ものヤーボの芝刈り機が世界中の家庭で同一のパスワードを暴露した
- 捜査員が家族の住居の外で200ポンドの草刈り機を遠隔操作でハイジャックした
- 脆弱なロボット芝刈り機の GPS 位置情報と WiFi パスワードが漏洩
セキュリティ研究者の Andreas Makris は、Yarbo ロボット芝刈機に、数千台のユニットで同一のデフォルトの管理者資格情報を使用してリモート アクセスを許可する重大な欠陥を発見しました。
これらの自律型マシンは、カメラ、GPS、人工知能マッピングを備えており、人間による常時監視なしで、世界中の 30 か国以上で稼働しています。
マクリス氏は、所有者の電子メール アドレス、Wi-Fi パスワード、正確な GPS 位置にアクセスして脆弱性を実証し、世界中の 11,000 台以上のデバイスを示すライブ マップを作成しました。
武装を待機している Linux デバイス
Yarbo 芝刈り機は、インターネットに接続された Linux システム上で動作し、公開されたコンピューターとして機能します。
理論的には、ハッカーはブレードをリモートで起動したり、近くのネットワークをスキャンしたり、大規模な攻撃のためにデバイスをボットネットに組み立てたりする可能性があります。
マクリス氏は、主要発電所などの重要な場所の近くで稼働しているユニットはインフラに対する潜在的なリスクを増幅すると指摘した。
この脆弱性の危険性は、ニューヨーク州北部の住宅で稼働する 200 ポンドの芝刈り機を制御した The Verge のライブ テスト中に明らかになりました。
報告書は「ロボットのカメラはそれぞれの動きを反映するために回転する」と述べ、「ロボットが好き勝手に走り回り、この家族を監視するのを止めることはほとんどできない」と警告している。
ジャーナリストのショーン・ホリスター氏は、約6,000マイル離れたドイツから芝刈り機の進路に横たわって、ヤーボ社のこれまでの安全主張を検証した。
この実験により、見知らぬ人が検出されずにローカルの制御を無効にして、いかに簡単にデバイスを強奪できるかが明らかになりました。
残念ながら、定期的なファームウェアのアップデートでは主な問題は解決できず、デバイスが同じ弱いデフォルトのパスワードにリセットされると報告されています。
単純なパスワード変更では、これらのネットワーク化されたボットの構造上のより深い問題を解決することはできません。
中国製、ニューヨーク拠点
Yarbo は公にはニューヨーク州ロンコンコマで事業を行っていますが、その起源は中国の深センにある漢陽テックにまで遡ります。この二重のアイデンティティが、国際的に販売されているデバイスに影響を与えるセキュリティ上の欠陥の中で厳しい視線を集めています。
この暴露を受けて、マクリス氏はヤーボ氏が問題を完全に修正する前に、公式の CVE 開示を含む調査結果を公表するよう促された。
批評家は、地理的な関係が消費者向けハードウェアにおけるメーカーのアクセス機能の永続性に影響を与えるかどうかを疑問視しています。
Yarbo の共同創設者 Kenneth Kohlmann 氏は、主に米国外から VPN 経由でアクセスできる声明文に欠陥があることを認めた。
同社はリモート診断トンネルを無効にし、root パスワードをリセットし、未認証のエントリ ポイントを制限しました。
また、共有パスワードからデバイス固有の資格情報に移行し、監査付きの権限リストベースの診断モデルを約束しました。
しかし、マクリス氏もホリスター氏も、これらの措置に説得力があるとは考えていませんでした。同社は、製造業者からのリモート アクセスを完全に排除するまでには至らず、より厳格な管理と監査証跡を約束しました。
ホリスター氏はこれまでに講じられた措置を評価し、「物議を醸しているのは依然として内部のバックドアだ」と述べた。
この決定により、メーカーが隠しアクセス ポイントの閉鎖を拒否したバックドア スタイルの永続的アクセスを備えたスマート デバイスに対する幅広い懸念が高まりました。
サイバーニュース経由
Google ニュースで TechRadar をフォローしてください e 私たちを優先情報源として追加してください 私たちのニュース、解説、専門家の意見をフィードに直接配信します。
:quality(85):upscale()/2026/04/28/203/n/1922729/d7d3d5c869f18093a1a3c7.28947347_.jpg "「運動間食」が流行っているけど、効果はあるの? 2週間試してみた")
