O fabricante do cortador de grama robô que me atingiu mudou sua política. Yarbo agora planeja remover completamente o acesso remoto backdoor que poderia permitir que partes mal-intencionadas reprogramassem robôs pela Internet. Os clientes da Yarbo poderão decidir se o recurso será instalado em primeiro lugar, promete o cofundador Kenneth Kohlmann. A beira.
Yarbo abordou uma série de questões de segurança na sexta-feira, fechando a lacuna que permitiu ao pesquisador de segurança Andreas Makris sequestrar facilmente robôs laminados do outro lado do mundo, e já havia prometido divulgar endereços de e-mail e localizações de GPS. Mas quando se trata das vulnerabilidades mais preocupantes, Yarbo parou nesse ponto. A empresa disse que pretendia deixar um backdoor remoto aberto para que “pessoal interno autorizado” pudesse ajudar remotamente na solução de problemas de dispositivos, mas desta vez apenas adicionou mais proteção contra esse backdoor.
Os clientes da Yarbo deveriam decidir se seus robôs têm backdoors persistentes? de jeito nenhum“Quando perguntamos na semana passada, a empresa inicialmente sugeriu que a resposta era não. “A remoção completa dos recursos de diagnóstico remoto reduzirá nossa capacidade de ajudar nossos clientes a resolver rapidamente problemas de segurança, conectividade e serviço, especialmente quando a inspeção física não é prática”, disseram os porta-vozes Showan Hou e Maggie Chow no sábado.. A empresa indicou que ainda está considerando uma solução. talvez Permitir que os usuários desativem.
Mas na segunda-feira, quando Coleman me ligou do aeroporto, a empresa decidiu dar um passo adiante. A empresa faz isso aceitar Um recurso que pode ser instalado somente se for necessária ajuda remota. “No futuro, não deverá haver backdoors remotos, a menos que o usuário aceite”, diz ele. A beira.
Acima: Meu vídeo original sobre o cortador de grama robótico Yarbo.
Coleman alertou que a exclusão dos túneis levará tempo e os arquivos necessários para instalar a nova versão ainda podem estar tecnicamente carregados no armazenamento interno de cada robô. “Talvez seja um script de configuração que reside na máquina e não faz nada a menos que o usuário o inicie”, diz ele. “Quando um usuário o aciona, um túnel temporário e único é instalado.”
Talvez você possa tentar enviar os arquivos de log para o suporte técnico da Yarbo antes de ir tão longe, ele sugere. Se isso por si só não for suficiente para diagnosticar o problema, você também poderá instalar opcionalmente a funcionalidade de acesso remoto.
Pode ser difícil determinar se Yarbo está cumprindo sua promessa de remover túneis de acesso remoto por padrão. Porque Yarbo já bloqueou (compreensivelmente) o robô de acordo com nossa história. Coleman diz que em breve cada dispositivo deverá ter uma senha de root exclusiva e que Yarbo não fornecerá a senha aos usuários finais. A atualização do firmware já foi implementada nas primeiras 1.000 máquinas e será aplicada a robôs adicionais.
Mas Coleman disse que a empresa está atualmente em contato com Makris e que pesquisadores de segurança poderão verificar as mudanças.
