Yarbo признала уязвимости в роботах-газонокосилках и пообещала исправления за неделю

Китайский производитель роботов-газонокосилок Yarbo официально признал серьёзные уязвимости в безопасности своих устройств и опубликовал развёрнутый план исправлений на 1200 слов. Поводом стала публикация исследователя безопасности Андреаса Макриса, который 7 мая 2026 года показал, как можно удалённо перехватить управление роботом — вплоть до того, что машина с вращающимися ножами въехала в журналиста The Verge. Компания подтвердила точность технических выводов и принесла публичные извинения.

Проблема оказалась системной: тысячи устройств Yarbo использовали одинаковый root-пароль для всего парка роботов, а сам пароль хранился в местах, которые без труда находил любой желающий. Помимо этого, через незащищённые эндпоинты можно было получить доступ к GPS-координатам владельцев, паролям от Wi-Fi и адресам электронной почты. Фактически любой случайный хакер мог не только следить за пользователями, но и управлять устройствами дистанционно.

Что Yarbo уже сделала и что обещает

Компания разделила план действий на два блока — уже выполненное и то, что сейчас в работе. Из сделанного: временно отключены удалённые диагностические туннели, сброшены root-пароли на всех устройствах, закрыты или ограничены неаутентифицированные эндпоинты для запросов статуса.

В ближайшее время через OTA-обновления планируется внедрить индивидуальные учётные данные для каждого устройства — чтобы компрометация одного робота не открывала доступ ко всему парку. Пароли перестанут храниться в прошивке, скриптах и базах данных: вместо этого они будут динамически генерироваться на основе идентификатора устройства. Первая волна обновлений должна выйти в течение одной недели.

Чтобы получить обновление безопасности, владельцам устройств нужно подключить робота к интернету. После применения патча можно вернуться к прежним сетевым настройкам. Если пользователь предпочитает держать устройство офлайн — это не повлияет на гарантию.

Бэкдор остаётся — и это главный вопрос

Несмотря на детальный план исправлений, Yarbo не собирается полностью убирать удалённый доступ к своим устройствам. Компания лишь обещает ограничить его «авторизованными сотрудниками» и добавить журналирование всех подключений с указанием сотрудника, причины доступа, номера задачи и временной метки.

Проблема в том, что именно это Yarbo обещала и раньше. Оригинальная публикация The Verge прямо опровергла заявление компании о том, что удалённый доступ доступен только авторизованным сотрудникам — на практике это оказалось не так. Редакция задала Yarbo прямой вопрос: почему бы не убрать туннель полностью или сделать его опциональным, оставив выбор за пользователем? Ответа пока нет.

Исследователь Макрис отметил, что ещё не проверял, закрыты ли уязвимости после изменений Yarbo. При этом он позитивно оценил смену тона: компания вышла с ним на прямой контакт, создала выделенный центр реагирования на инциденты безопасности и заверила, что исправления — приоритет номер один.

««Yarbo инициировала прямую коммуникацию со мной и сделала позитивный шаг — создала специализированный центр реагирования на угрозы безопасности. Мы обсуждаем процесс устранения уязвимостей, и компания заверила меня, что эти исправления являются их высшим приоритетом», — сообщил Макрис.»

Отдельный вопрос — масштаб проблемы. Yarbo в своём заявлении несколько раз упоминает «исторические» и «унаследованные» сервисы, намекая, что часть устройств, возможно, была защищена лучше. Редакция запросила у компании данные о том, какой процент роботов работает на этих старых сервисах — ответа также пока не последовало.

Почему это важно за пределами газонов

История с Yarbo — наглядный пример того, как устройства класса «умный дом» и бытовая робототехника превращаются в полноценный вектор атаки. Робот-газонокосилка — это не просто гаджет: это устройство с доступом к домашней сети, точными GPS-координатами дома, расписанием владельца и физическими возможностями причинить вред.

Для белорусского рынка прямая угроза пока невелика — Yarbo здесь не продаётся массово. Но логика уязвимостей универсальна: единый пароль для всего парка устройств, бэкдор производителя без прозрачного аудита, данные пользователей в облаке без должной защиты. Всё это характерно для широкого класса китайских IoT-устройств, которые активно используются и в Беларуси — от умных камер до систем контроля доступа.

Вопрос о том, имеет ли производитель право сохранять постоянный удалённый доступ к устройству без явного согласия пользователя, становится всё более актуальным — и регуляторы в ЕС уже движутся в сторону обязательных требований к безопасности IoT-устройств. Yarbo, судя по всему, пока решает этот вопрос в свою пользу.

— По материалам The Verge: оригинальная статья. Перевод и адаптация — редакция Digital Business.