Компания Yarbo полностью откажется от удаленного доступа к роботам-газонокосилкам
Производитель роботов-газонокосилок Yarbo кардинально изменил свою политику в отношении безопасности устройств. Компания планирует полностью отказаться от функции удаленного доступа, которая ранее позволяла перепрограммировать роботов через интернет и могла быть использована злоумышленниками. Отныне клиенты Yarbo смогут сами решать, устанавливать ли этот функционал на свои устройства. Об этом изданию The Verge заявил сооснователь компании Кеннет Кольманн.
Угроза удаленного контроля и ранние обещания
Ранее компания Yarbo уже обещала принять меры для решения многочисленных проблем безопасности. Так, планировалось закрыть уязвимости, которые позволяли исследователю в области безопасности Андреасу Макрису легко получать контроль над любым из роботов-газонокосилок из любой точки мира. Эти же уязвимости раскрывали электронные адреса пользователей и данные об их GPS-местоположении.
Однако в отношении наиболее критичной уязвимости — постоянного удаленного доступа, или «бэкдора» — Yarbo первоначально занимала более осторожную позицию. Тогда компания заявила, что сохранит удаленный «бэкдор» (скрытый доступ) для того, чтобы «уполномоченный внутренний персонал» мог дистанционно устранять неполадки на устройствах. Предполагалось, что этот доступ будет обеспечен дополнительными мерами защиты.
Позиция компании и кардинальное решение
Возник вопрос: должны ли пользователи Yarbo сами решать, иметь ли их роботам постоянный удаленный доступ? По данным The Verge, когда этот вопрос был поднят на прошлой неделе, компания изначально склонялась к отрицательному ответу. Представители Showan Hou и Maggie Zhou сообщали, что «полное удаление функции удаленной диагностики снизит нашу способность быстро помогать клиентам решать проблемы безопасности, подключения и обслуживания, особенно в тех случаях, когда физическая проверка нецелесообразна». Тогда компания лишь рассматривала возможность предоставления пользователям выбора отключить эту функцию.
Однако к понедельнику позиция Yarbo изменилась. Как заявил Кеннет Кольманн изданию The Verge, теперь компания решила пойти дальше: удаленный доступ станет функцией, которую можно будет установить только по желанию пользователя. «В будущем не должно быть никакого удаленного доступа, если пользователь не примет решение его включить», – пояснил он.
Временный доступ по запросу пользователя
Кольманн предупредил, что полное удаление существующего канала удаленного доступа займет некоторое время. Необходимые файлы для установки новой версии могут по-прежнему технически находиться во внутреннем хранилище каждого робота. «Вероятнее всего, это будет установочный скрипт, который находится на машине и ничего не делает, пока пользователь его не запустит», – пояснил он. – «Если пользователь запускает его, то устанавливается временный одноразовый канал».
По словам сооснователя, прежде чем прибегать к активации удаленного доступа, пользователи, вероятно, сначала попробуют отправить файл журнала в техническую поддержку Yarbo. Если этого будет недостаточно для диагностики проблемы, то они смогут при необходимости установить функцию удаленного доступа.
Дальнейшие меры и сотрудничество с экспертами
Хотя проверить, выполнит ли Yarbo свое обещание по удалению удаленного доступа по умолчанию, может быть сложно, компания уже активно усиливает безопасность своих роботов после публикации данной информации. Кольманн сообщил, что каждое устройство вскоре получит уникальный суперпользовательский пароль, который Yarbo не будет предоставлять конечным пользователям. Обновления прошивки уже выпущены для первой тысячи машин и постепенно будут внедрены на все последующие партии роботов.
По словам Кольманна, компания сейчас находится на связи с Андреасом Макрисом, и не исключено, что исследователь сможет подтвердить эффективность внесенных изменений.
