La empresa detrás del robot cortacésped que me golpeó ha cambiado de postura. Yarbo ahora planea eliminar por completo el acceso remoto por puerta trasera que permitía a los delincuentes reprogramar el robot a través de Internet. Los clientes de Yarbo podrán decidir si instalan la función, algo que el cofundador Kenneth Kohlmann prometió hacer. Borde.
Yarbo había prometido el viernes que abordaría muchos de los problemas de seguridad de frente, cerrando una laguna que permitía al investigador de seguridad Andreas Makris secuestrar fácilmente cualquier robot con cuchillas del otro lado del mundo, al tiempo que revelaba direcciones de correo electrónico y ubicaciones de GPS. Pero cuando se trata de las vulnerabilidades más preocupantes, Yarbo hace una pausa. La compañía dice que mantendrá abierta la puerta trasera remota para que el “personal interno autorizado de la compañía” pueda ayudar a solucionar problemas del dispositivo de forma remota, solo que ahora con más medidas de seguridad a su alrededor.
¿No deberían los clientes de Yarbo decidir si su robot tiene una puerta trasera persistente? en absoluto? Cuando preguntamos la semana pasada, la empresa inicialmente sugirió que la respuesta era no. “Eliminar completamente las capacidades de diagnóstico remoto reducirá nuestra capacidad para ayudar a los clientes a resolver rápidamente problemas de seguridad, conectividad y servicio, especialmente en los casos en los que no se puede realizar una inspección física”, nos dijeron el sábado los portavoces Showan Hou y Maggie Zhou.. La compañía dijo que todavía está considerando soluciones y Posible permitir que los usuarios opten por no participar.
Pero el lunes, cuando Kohlmann me llamó desde el aeropuerto, la empresa decidió ir un paso más allá. La empresa lo convirtió en un participar una función que puede instalar si y sólo si desea asistencia remota. “En el futuro, no debería haber puertas traseras remotas a menos que el usuario decida participar”, dijo. Borde.
Arriba: mi vídeo original sobre el robot cortacésped Yarbo.
Kohlmann advierte que llevará mucho tiempo eliminar el túnel y que técnicamente los archivos necesarios para instalar la nueva versión aún pueden estar cargados en el almacenamiento interno de cada robot. “Lo más probable es que se trate de un script de configuración que se encuentra en la máquina y no hace nada a menos que el usuario lo active”, dijo. “Si el usuario lo activa, instalará un túnel temporal”.
Quizás quieras intentar cargar tus archivos de registro en el soporte técnico de Yarbo antes de llegar tan lejos, sugiere. Si eso no es suficiente para diagnosticar el problema, también puedes instalar una función de acceso remoto.
Puede ser difícil saber si Yarbo cumple su promesa de eliminar los túneles de acceso remoto de forma predeterminada, ya que Yarbo ya bloqueó sus robots (¡como debería!) después de nuestra historia. Kohlmann dijo que cada dispositivo pronto tendrá una contraseña de root única, una que Yarbo no dará a los usuarios finales; La actualización del firmware se implementó en las primeras 1000 máquinas y llegará a oleadas adicionales de robots.
Pero Kohlmann dijo que su compañía se ha puesto en contacto con Makris y que es posible que los investigadores de seguridad puedan validar los cambios.
