- Miles de cortadoras de césped Yerbo han liberado contraseñas idénticas en hogares de todo el mundo
- Los investigadores localizaron de forma remota una cortadora de césped de 200 libras afuera de la residencia de una familia
- Ubicación GPS y contraseña WiFi filtradas de un robot cortacésped vulnerable
El investigador de seguridad Andreas Makris descubrió una falla crítica en los cortacéspedes robóticos Yerbo que permitía el acceso remoto utilizando credenciales de administrador predeterminadas idénticas en miles de unidades.
Equipadas con cámaras, GPS y mapeo de IA, estas máquinas autónomas operan globalmente sin supervisión humana constante en más de 30 países.
Makris demostró la vulnerabilidad accediendo a las direcciones de correo electrónico de los propietarios, contraseñas de Wi-Fi, ubicaciones GPS exactas y creó un mapa en vivo que muestra más de 11.000 dispositivos en todo el mundo.
Los dispositivos Linux están esperando ser armados
Yarbo Mowers se ejecuta en un sistema Linux conectado a Internet, actuando de forma muy parecida a una computadora abierta.
En teoría, los piratas informáticos podrían activar las cuchillas de forma remota, escanear redes cercanas o combinar los dispositivos en botnets para ataques más grandes.
Makris señaló que las unidades que operan cerca de sitios críticos, como una gran central eléctrica, aumentan el riesgo potencial para la infraestructura.
El peligro de esta vulnerabilidad quedó demostrado durante una prueba en vivo para The Verge, tomando el control de una cortadora de césped de 200 libras que operaba afuera de la casa de una familia en el norte del estado de Nueva York.
“La cámara del robot gira para reflejar cada uno de esos movimientos”, señala el informe, advirtiendo: “No hay nada que le impida espiar a esta familia y conducir a donde quiera”.
El periodista Sean Hollister condujo casi 6.000 millas desde Alemania hasta el paseo en carruaje para comprobar las afirmaciones anteriores de seguridad de Yarbaugh.
La prueba reveló con qué facilidad un extraño podría apoderarse del dispositivo, anulando los controles locales sin ser detectado.
Desafortunadamente, las actualizaciones periódicas de firmware no lograron solucionar el problema de raíz, ya que restablecieron los dispositivos con las mismas contraseñas predeterminadas débiles.
Sólo unos simples cambios de contraseña no pueden resolver los profundos problemas arquitectónicos de estos robots de red.
Fabricado en China, con sede en Nueva York.
Yarbo opera públicamente desde Ronkonkoma, Nueva York, pero se remonta a Hanyang Tech en Shenzhen, China, una identidad dual que ha provocado investigaciones sobre fallas de seguridad que afectan a los dispositivos vendidos internacionalmente.
La divulgación llevó a Macris a publicar sus hallazgos, incluida la divulgación oficial de CVE, antes de que Yarbo solucionara completamente los problemas.
Los críticos cuestionan si los vínculos geográficos afectan la persistencia de las funciones de acceso de los fabricantes en el hardware de consumo.
El cofundador de Yarbo, Kenneth Kohlman, reconoció las fallas en una declaración a la que se puede acceder principalmente a través de VPN fuera de los EE. UU.
La empresa deshabilitó túneles de diagnóstico remoto, restableció contraseñas raíz y restringió puntos de entrada no autorizados.
Pasaron de contraseñas compartidas a credenciales específicas del dispositivo y prometieron un modelo de diagnóstico basado en listas aprobado con auditorías.
Sin embargo, ni Makris ni Hollister encontraron creíbles estas medidas. La compañía no ha eliminado por completo el acceso remoto del fabricante, prometiendo controles estrictos y registros de auditoría.
“Podría decirse que conserva una puerta trasera interna”, dijo Hollister en una evaluación de las medidas adoptadas hasta ahora.
La decisión ha alimentado una preocupación generalizada sobre los dispositivos inteligentes con acceso persistente estilo puerta trasera cuyos fabricantes se niegan a desactivar puntos de acceso ocultos.
vía cibernoticias
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
