Дослідник з кібербезпеки Андреас Макріс виявив критичну вразливість у роботизованих газонокосарках Yarbo, яка дозволяє хакерам отримати повний віддалений контроль над усіма активними пристроями цієї моделі у світі. Завдяки одній грубій помилці розробників зловмисники можуть без значних зусиль захопити управління технікою, що важить понад 90 кг.

Кожна розумна газонокосарка оснащена камерами, модулями Wi-Fi та 4G та працює на базі операційної системи Linux. Дослідник з'ясував, що абсолютно всі моделі мають однаковий пароль для root-доступу. Навіть якщо користувач спробує змінити його, після кожного оновлення системи пароль автоматично скидається до стандартного заводського коду.

Така архітектура відкриває зловмисникам безпрецедентні можливості для втручання: отримання точних GPS-координат власників, доступ до електронної пошти та паролів від домашніх мереж, перехоплення відео з камер спостереження, а також залучення пристроїв до ботнетів для незаконної діяльності.

Коли Макріс повідомив компанію Yarbo про проблему, виробник не визнав це загрозою, стверджуючи, що відкритий root-доступ є навмисним рішенням для швидкого технічного обслуговування. Окрім того, під час аналізу трафіку було виявлено, що телеметрія з газонокосарок маршрутизується на сервери ByteDance, хоча компанія позиціонує себе як американська, а фактична діяльність ведеться з Китаю.

Для підтвердження своїх слів дослідник успішно відстежив реальних власників, серед яких виявився колишній мережевий архітектор великої IT-корпорації, а також три пристрої, розташовані в безпосередній близькості від важливої електростанції. На даний момент компанія випустила оновлення, які закривають лише деякі вразливості в мобільному додатку, тоді як найсерйозніша проблема — доступ до прошивки самого пристрою — залишається невиправленою.