Ein deutscher Hacker hat eine gravierende Sicherheitslücke in Yarbo-Rasenmähern entdeckt, die es ihm ermöglichte, die Kontrolle über jeden beliebigen Roboter dieses Modells weltweit zu übernehmen. Der Yarbo-Rasenmäher, der über 200 Pfund wiegt und mit Kameras sowie Internetverbindungen ausgestattet ist, könnte im falschen Händen ein enormes Zerstörungspotenzial darstellen.
Der Hacker, Andreas Makris, ist ein Sicherheitsforscher, der überrascht war, wie einfach es war, die Kontrolle über die Roboter zu erlangen. Alle Yarbo-Roboter nutzen dasselbe Passwort für den Root-Zugriff, was bedeutet, dass Makris, nachdem er einen Roboter erfolgreich gehackt hatte, auf die gesamte Flotte und sogar auf persönliche Daten der Nutzer zugreifen konnte. Als er Yarbo informierte, wurde ihm mitgeteilt, dass der Sicherheitsfehler eine bewusste Konstruktionsentscheidung sei. Diese Antwort veranlasste ihn, einen Reporter von Der Rand zu kontaktieren, der die Sicherheitslücke bestätigte und publik machte.
Makris war in der Lage, die Yarbo-Rasenmäher in ein Botnetz zu integrieren und somit potenziell illegale Aktivitäten über das Netzwerk der Besitzer durchzuführen. Zudem könnte er GPS-Koordinaten, E-Mails und sogar WLAN-Passwörter der Nutzer abrufen.
Rasenmäher-Roboter von Yarbo können problemlos aus der Ferne übernommen werden
In seiner veröffentlichten Sicherheitsforschung auf GitHub stellt Makris fest, dass jeder Yarbo-Roboter eine vollständige Linux-Instanz ausführt, wobei das Root-Passwort bei jedem Modell identisch ist. Benutzer können das Passwort zwar nicht ändern, da es bei jedem Update auf den Universalcode zurückgesetzt wird. Darüber hinaus fand Makris heraus, dass Yarbo Telemetriedaten an ByteDance, das chinesische Unternehmen hinter TikTok, weiterleitet. Trotz des offiziell in New York angegebenen Hauptsitzes scheint Yarbo tatsächlich von Shenzhen, China, aus operiert zu werden.
The Verge bestätigte Makris’ alarmierende Behauptungen, indem es einige der Yarbo-Besitzer besuchte, die er ausfindig gemacht hatte. Ein pensionierter Netzwerkarchitekt von Microsoft, der glaubte, durch ein separates Gastnetzwerk sicher zu sein, war verblüfft, als ein Reporter ihm von dem gehackten Rasenmäher berichtete. Makris konnte sogar drei Yarbo-Roboter in der Nähe eines wichtigen Kraftwerks lokalisieren, einschließlich eines Geräts, das offenbar einem Nuklearsicherheitsanalysten gehörte.
Nachdem die Sicherheitslücke aufgekommen war, hat Yarbo Schritte unternommen, um einige Schwachstellen in der App zu beheben. Die schwerwiegendsten Bedenken liegen jedoch weiterhin bei der Firmware der Geräte, die nicht aktualisiert wurde. Dies verdeutlicht, dass jedes vernetzte Gerät potenzielle Sicherheitsrisiken birgt und dass nicht alle Hersteller ausreichend auf die Sicherheit ihrer Produkte achten. Es gibt Möglichkeiten, das Smart Home sicherer zu gestalten, doch konsumenten wird geraten, sorgfältig zu überlegen, bevor sie einen Rasenmäher mit Klingen in ihr Heimnetzwerk integrieren.
