Как вы думаете, при восстании машин какого представителя «умной» бытовой техники стоит опасаться больше всего? Блендера, чайника, а может быть, робота-пылесоса? Моя ставка — на роботов-газонокосилок, и, готова поспорить, после прочтения этой статьи вы тоже начнете их опасаться. В ней пойдет речь о свежей работе независимого исследователя безопасности Андреаса Макриса, который на момент публикации своего исследования следил за шестью тысячами газонокосилок бренда Yarbo. Более того, при желании он мог получить полный контроль над любым из этих устройств: включать и выключать робота, управлять им на расстоянии, делать снимки встроенной камерой и многое другое. Подробнее о том, как это у него получилось, читайте в нашей статье.
Что представляют собой роботы-газонокосилки Yarbo
Называть устройства Yarbo простыми газонокосилками — значит не отдавать им должное. На деле продвинутые роботы Yarbo — это автономные мини-тракторы, которые могут решать массу разнообразных задач. Их можно использовать не только для ухода за газоном, но также для уборки снега и опавших листьев, транспортировки грузов, патрулирования территории и других задач. Для разных видов хозяйственной деятельности производитель предусмотрел целый набор различных насадок.

Yarbo — модульный робот для ухода за участком. В зависимости от установленной насадки он может работать как газонокосилка, триммер, снегоуборщик, воздуходувка для листьев или маленький грузовик. Источник
Стоит все это удовольствие совсем недешево — в Европе за самого робота придется отдать более 5000 евро, а насадки стоят 1500–2500 евро за каждую. Полный комплект, включающий самого робота и все доступные модули — газонокосилку, триммер, снегоуборщик, воздуходувку для уборки листьев и модуль для буксировки, обойдется в 12 000 евро с лишним.
В качестве газонокосилки этот робот-трактор может похвастаться весьма внушительными характеристиками. Ширина скашивания составляет около 50 сантиметров благодаря двум режущим дискам с пятью лезвиями на каждом. Одного заряда аккумулятора хватает для обработки примерно 1000 квадратных метров. Когда заряд батареи снижается до 20%, робот самостоятельно возвращается на зарядную станцию, а после подзарядки продолжает работу с того места, на котором остановился, — тут все как с пылесосами. Но в совершенно ином масштабе: в режиме газонокосилки данный робот может обслуживать территории до 2,5 гектар (это 250 соток, то есть небольшой садовый кооператив), а в режиме транспортировщика поддерживает угодья площадью до 12,5 гектар.

Робот Yarbo в конфигурации для уборки снега. Источник
Для ухода за газоном и прочей садовой деятельности все это звучит как мечта, но представьте, что может случиться, если вы потеряете контроль над таким серьезным устройством? А вот журналисту The Verge Шону Холлистеру и представлять не надо. Вместе с исследователем Андреасом Макрисом они провели эксперимент, в рамках которого исследователь, будучи в Германии, удаленно захватил контроль над газонокосилкой Yarbo и переехал журналиста, лежащего на газоне у себя в США. Все подробности — в следующих частях статьи.

Самая полная комплектация робота Yarbo, включающая все предлагаемые производителем насадки, — в Европе за нее придется отдать более 12 тысяч евро. Источник
Как исследователь смог получить контроль над устройствами Yarbo
В нашем блоге мы уже рассказывали, что все умные устройства представляют собой компьютеры, нередко на колесах. Чаще всего в качестве операционной системы в них используется Linux — и роботы Yarbo тут не исключение. При изучении прошивки устройства Макрис обнаружил в ней механизм, который постоянно поддерживает связь с серверами компании.
Сама по себе такая практика не является чем-то необычным: большинство роботов-пылесосов, камер, умных колонок и других IoT-устройств регулярно обмениваются данными с инфраструктурой производителя, например, для получения обновлений программного обеспечения. Однако в случае Yarbo этот механизм использовался не только для передачи данных телеметрии и установки обновлений, но и для удаленного доступа к устройству. Теоретически производитель может вполне легитимно использовать такой доступ — например, для удаленной диагностики и технической поддержки пользователей.
Чтобы разобраться в том, какие возможности он предоставляет, Макрис изучил его конфигурацию. Как оказалось, этот механизм позволял подключаться к газонокосилке с максимальными административными правами и выполнять на ней любые команды.
Проблему усугубляло то, что для такого подключения использовалась учетная запись root — главный административный аккаунт Linux, обладающий полным контролем над системой. Поскольку имя этой учетной записи является стандартным для Linux-систем, злоумышленнику не требовалось даже подбирать логин.
И здесь Макриса ждал еще один неприятный сюрприз: пароль для учетной записи root был жестко прописан в прошивке и оказался одинаковым для всех устройств Yarbo. Пароль этот был не самым надежным, всего девять символов, но в данном случае это было не так уж важно. Дело в том, что подбирать пароль root исследователю и не потребовалось, поскольку тот был жестко прописан в одном из компонентов системы, и его можно было просто подсмотреть.

Пароль root от всех роботов Yarbo жестко прописан в одном из компонентов системы. Источник
Подчеркнем еще раз, что данный пароль открывал доступ не к одной конкретной газонокосилке, а ко всем роботам Yarbo по всему миру. Более того, даже если какой-то особенно продвинутый владелец газонокосилки решил бы поменять пароль root на уникальный, при следующем обновлении система автоматически вернула бы исходное значение.
Таким образом, для получения удаленного доступа к любому из тысяч роботов Yarbo злоумышленнику было достаточно знать серийный номер устройства и общий для всей линейки пароль учетной записи root. При этом серийные номера устройств имеют предсказуемый формат и используются в инфраструктуре Yarbo в качестве идентификаторов роботов. Никаких дополнительных действий со стороны владельца газонокосилки для ее успешного взлома не требовалось.
Что может сделать злоумышленник с газонокосилкой Yarbo
Андреас Макрис внимательно изучил, какие возможности дает удаленный доступ к роботам Yarbo, и на практике продемонстрировал некоторые из них журналисту The Verge Шону Холлистеру, включая:
- прямую трансляцию изображения со встроенных камер (всего их четыре, на каждой из сторон робота);
- создание снимков с помощью камер устройства;
- получение адресов электронной почты пользователей;
- получение паролей от Wi-Fi-сетей, к которым подключены роботы;
- определение точных GPS-координат устройств;
- удаленное управление роботами.
Журналист связался с двумя владельцами устройств Yarbo и проверил достоверность полученной Макрисом информации. Они подтвердили, что исследователь правильно определил местоположение их домов, а также смог получить доступ к реальным адресам электронной почты и паролям от Wi-Fi-сетей, к которым были подключены роботы.
Чтобы по-настоящему прочувствовать серьезность получения удаленного доступа посторонних к такому серьезному механизму, Макрис и Холлистер решили провести эксперимент, который мы уже упоминали выше. Находясь в Германии, исследователь захватил контроль над газонокосилкой Yarbo в США, к которой Холлистер имел доступ. Далее, будучи в постоянной связи с лежащим на траве журналистом, Макрис направил устройство прямо на него.
Следует оговориться, что газонокосилка ехала задним ходом и лезвия на ней не были активны. Однако, даже несмотря на это, эксперимент все равно был достаточно опасным, ведь устройство весит больше 100 килограммов. В какой-то момент робот действительно наехал на Холлистера, но Макрис вовремя остановил газонокосилку, и никто не пострадал.
Этот эксперимент подтвердил, что в устройстве нет никаких жестких механизмов безопасности, которые бы включались в случае появления препятствий на пути движения робота. Справедливости ради отметим, что на самой газонокосилке есть экстренная кнопка, при нажатии которой она останавливается. Но, как отмечает Макрис, имея root-доступ к роботу, хакер может легко отменить эту команду и снова включить устройство.
Впрочем, демонстрацией удаленного управления риски не ограничиваются. По словам Макриса, полученный доступ позволяет незаметно следить за происходящим через камеры устройств, устанавливать в операционной системе роботов дополнительное программное обеспечение и использовать газонокосилки как точку входа для дальнейших атак на другие устройства в той же сети. По мнению исследователя, сама архитектура системы удаленного доступа фактически представляет собой бэкдор: владельцы не могут его отключить, а доступ к устройствам сохраняется вне зависимости от их действий.
Как не стать жертвой собственной газонокосилки
Обычно исследователи кибербезопасности публикуют работы об обнаруженных ими уязвимостях только после того, как производители их закрывают. Однако Андреас Макрис поступил иначе — он сразу опубликовал информацию о бэкдоре в роботах Yarbo онлайн, не дожидаясь устранения проблемы. Свое решение он мотивировал тем, что производитель устройств в данном случае не случайно допустил возникновения уязвимости, а сознательно и намеренно создал постоянный бэкдор в своих роботах.
При этом при попытке обратиться в поддержку Yarbo (у компании не было отдельного канала для сообщения об уязвимостях) Макрис получил ответ-отписку, в которой говорилось, что «все безопасно, а функция удаленного подключения не включена постоянно и не может использоваться третьими лицами». Как продемонстрировал исследователь, эти утверждения можно назвать ложными.
После публикации работы Макриса в компании Yarbo заявили, что устранят многие обнаруженные проблемы. В частности, производитель пообещал отказаться от одинаковых паролей для всех устройств, внедрить дополнительные механизмы контроля доступа и повысить прозрачность работы системы удаленной диагностики.
Что касается удаленного доступа, в будущих версиях прошивки он будет доступен только по желанию владельца устройства. Пользователь сможет самостоятельно решить, нужен ли ему этот механизм, и установить его только в случае необходимости.
Yarbo уже опубликовала две обновленные версии ПО для своих роботов, и мы рекомендуем владельцам незамедлительно их установить. При этом, правда, остается не до конца понятно, были ли устранены все проблемы безопасности.
Более общий вывод для всех пользователей умных устройств состоит в том, что высокая цена вовсе не гарантия безопасности. Даже устройство стоимостью в несколько тысяч евро может оказаться не только помощником по хозяйству, но и потенциальным инструментом слежки или точкой входа в вашу домашнюю сеть.
Поэтому стоит соблюдать базовые правила цифровой гигиены: своевременно устанавливать обновления, использовать надежные и уникальные пароли для домашних Wi-Fi-сетей, сохраняя их в менеджере паролей, а также по возможности изолировать IoT-устройства от компьютеров и других систем, содержащих важные данные. А Мониторинг умного дома в нашем защитном решении предупредит вас, если к вашей домашней сети подключится кто-то посторонний.
Какие еще устройства умного дома взламывали? Читайте в наших постах:
интернет вещей