La empresa detrás del robot cortacésped que me atropelló ha cambiado de opinión. Yarbo ahora planea eliminar por completo el acceso remoto por puerta trasera que podría haber permitido a los malos actores reprogramar el robot a través de Internet. Los clientes de Yarbo podrán decidir si esa característica se instala en primer lugar, se compromete el cofundador Kenneth Kohlmann. El borde.
Yarbo ya había prometido el viernes que abordaría muchos problemas de seguridad de frente, cerrando los agujeros que permitieron al investigador de seguridad Andreas Makris secuestrar fácilmente cualquiera de los robots con cuchillas desde el otro lado del mundo, al mismo tiempo que exponía direcciones de correo electrónico y ubicaciones de GPS. Pero cuando llegó la vulnerabilidad más preocupante, Yarbo se detuvo en ese momento. La compañía dijo que mantendría abierta una puerta trasera remota para que el “personal interno autorizado de la compañía” pueda ayudar a solucionar problemas de los dispositivos de forma remota, solo que ahora con más protecciones a su alrededor.
¿No deberían los clientes de Yarbo decidir si sus robots tienen una puerta trasera persistente? en absoluto? Cuando preguntamos la semana pasada, la empresa inicialmente sugirió que la respuesta era no. «Eliminar por completo la capacidad de diagnóstico remoto reduciría nuestra capacidad para ayudar a los clientes a resolver problemas de seguridad, conectividad y servicio rápidamente, especialmente en los casos en los que la inspección física no es práctica», nos dijeron el sábado los portavoces Showan Hou y Maggie Zhou.. La empresa sugirió que todavía estaba considerando soluciones y podría permitir que los usuarios opten por no participar.
Pero el lunes, cuando Kohlmann me llamó desde el aeropuerto, la empresa decidió dar un paso más. La empresa lo está convirtiendo en un optar por característica que puede instalar si y sólo si desea ayuda remota. «En el futuro no debería haber ninguna puerta trasera remota a menos que el usuario decida participar», afirma. El borde.
Arriba: mi vídeo original sobre el robot cortacésped Yarbo.
Kohlmann advierte que llevará algún tiempo eliminar el túnel y que técnicamente los archivos necesarios para instalar una nueva versión aún pueden estar cargados en el almacenamiento interno de cada robot. «Lo más probable es que sea un script de configuración que se encuentra en la máquina y no hace nada a menos que el usuario lo active», afirma. «Si el usuario lo activa, instala un túnel temporal de una sola vez».
Probablemente intentes cargar tu archivo de registro en el soporte técnico de Yarbo antes de llegar tan lejos, sugiere. Si eso no es suficiente para diagnosticar el problema, opcionalmente también puedes instalar la función de acceso remoto.
Puede ser difícil saber si Yarbo cumple su promesa de eliminar el túnel de acceso remoto de forma predeterminada, porque ya está bloqueando sus robots (¡como debería!) después de nuestra historia. Kohlmann dice que cada dispositivo pronto debería tener una contraseña de root única, una que Yarbo no proporcionará a los usuarios finales; Las actualizaciones de firmware ya se han implementado en las primeras 1.000 máquinas y están llegando a oleadas adicionales de robots.
Pero Kohlmann dice que la compañía ahora está en contacto con Makris y que es posible que el investigador de seguridad pueda validar los cambios.
