Χθες, σας γράψαμε πώς ένας χάκερ με παρέσυρε με ένα ρομποτικό χλοοκοπτικό. Εξηγήσαμε επίσης πώς χιλιάδες από αυτά τα κινέζικα ρομπότ με λεπίδες, που κατασκευάζει η Yarbo, μπορούσαν να παραβιαστούν με ευκολία, εκθέτοντας σε οποιονδήποτε απλό χάκερ περνούσε από εκεί συντεταγμένες GPS, κωδικούς Wi‑Fi, διευθύνσεις email και άλλα στοιχεία.
Σήμερα, η Yarbo εξέδωσε μια αναλυτική απάντηση 1.200 λέξεων, την οποία μπορείτε να διαβάσετε ολόκληρη παρακάτω. Η εταιρεία επιβεβαιώνει τα ευρήματα του ερευνητή ασφάλειας, ζητά συγγνώμη και παρουσιάζει λεπτομερές σχέδιο για να αντιμετωπίσει πολλά από τα προβλήματα ασφάλειας που η ίδια δημιούργησε. Η Yarbo αναφέρει ότι έχει ήδη διακόψει προσωρινά την απομακρυσμένη πρόσβαση και ότι διορθώνει πολλά από τα πιο σοβαρά της σφάλματα, όπως το γεγονός ότι οι κωδικοί root ήταν ίδιοι για όλα τα ρομπότ και βρίσκονταν σε εύκολα προσβάσιμα σημεία για τους χάκερ.
«Στο εξής, κάθε συσκευή θα χρησιμοποιεί τα δικά της ανεξάρτητα διαπιστευτήρια, ώστε να αποτρέπεται η επίδραση μιας μόνο παραβιασμένης συσκευής σε ολόκληρο τον στόλο», γράφει η Yarbo. Η εταιρεία λέει ότι το πρώτο κύμα ενημερώσεων ασφαλείας θα αρχίσει να διατίθεται μέσα σε μία εβδομάδα.
Ωστόσο, η Yarbo δεν δεσμεύεται ακόμη να αφαιρέσει το πιο ανησυχητικό στοιχείο αυτών των ρομπότ. Η εταιρεία γράφει ότι θα διατηρήσει μια απομακρυσμένη κερκόπορτα στα ρομπότ της Yarbo, μόνο που πλέον θα είναι «περιορισμένη σε εξουσιοδοτημένο εσωτερικό προσωπικό της εταιρείας, θα μπορεί να χρησιμοποιείται μόνο αφού έχει ληφθεί η άδεια του χρήστη και θα ενταχθεί σταδιακά σε καταγραφή ελέγχου».
Για να είμαστε σαφείς, η Yarbo είχε ήδη υποστηρίξει παλαιότερα ότι η απομακρυσμένη πρόσβαση ήταν διαθέσιμη μόνο σε εξουσιοδοτημένους υπαλλήλους. Το ρεπορτάζ μας έδειξε ότι αυτό δεν ίσχυε.
Ακόμη κι αν δώσουμε στην εταιρεία το πλεονέκτημα της αμφιβολίας, γιατί να μην αφαιρέσει πλήρως το κανάλι ή να το κάνει προαιρετικό κατά την εγκατάσταση; Γιατί να μην μπορούν οι πελάτες της Yarbo να αποφασίσουν αν τα ρομπότ τους θα έχουν μόνιμη κερκόπορτα; Έχω θέσει αυτά ακριβώς τα ερωτήματα στην εταιρεία και θα επανέλθουμε με την απάντησή της.
Η ανακοίνωση της Yarbo επιχειρεί επίσης να αφήσει να εννοηθεί ότι οι ευπάθειες που είδαμε οφείλονται σε «ιστορικές» ή «παλαιότερες» υπηρεσίες, υπονοώντας ίσως ότι ορισμένα από τα ρομπότ της εταιρείας ήταν πιο ασφαλή. Έχουμε ρωτήσει την Yarbo πόσο ποσοστό των ρομπότ της χρησιμοποιεί αυτές τις ιστορικές υπηρεσίες σε σχέση με τις τρέχουσες.
Ο ερευνητής ασφάλειας Andreas Makris, που εντόπισε τις ευπάθειες, λέει ότι μέχρι στιγμής δεν έχει καταφέρει να ελέγξει αν εξακολουθεί να έχει πρόσβαση μετά τις αλλαγές της Yarbo. Ωστόσο, φαίνεται πως η εταιρεία τον αντιμετωπίζει πλέον σοβαρά. «Η Yarbo έχει ξεκινήσει απευθείας επικοινωνία μαζί μου και έκανε το θετικό βήμα να δημιουργήσει ειδικό κέντρο αντιμετώπισης ασφαλείας. Αυτή τη στιγμή βρισκόμαστε σε συζητήσεις για τη διαδικασία αποκατάστασης και με διαβεβαίωσαν ότι αυτές οι διορθώσεις αποτελούν την απόλυτη προτεραιότητά τους», λέει.
Ακολουθεί η πλήρης ενημέρωση της Yarbo προς τους πελάτες:
Γράφω αυτό το μήνυμα προσωπικά, επειδή τα ζητήματα που τέθηκαν στη πρόσφατη αναφορά ασφάλειας απαιτούν άμεση απάντηση, όχι μια εταιρική.
Στις 7 Μαΐου 2026, ο ερευνητής ασφάλειας Andreas Makris δημοσίευσε μια λεπτομερή αναφορά που εντόπιζε σοβαρές ευπάθειες στα συστήματα απομακρυσμένης διάγνωσης, διαχείρισης διαπιστευτηρίων και χειρισμού δεδομένων της Yarbo. Τα βασικά τεχνικά ευρήματα είναι ακριβή. Θα ήθελα να ευχαριστήσω τον κ. Andreas Makris για τη δουλειά του στον εντοπισμό αυτών των ζητημάτων και για την επιμονή του να τα φέρει στην προσοχή μας. Αναγνωρίζω επίσης ότι η αρχική μας απάντηση δεν αποτύπωσε επαρκώς τη σοβαρότητα των ζητημάτων που εντόπισε. Ως συνιδρυτής, φέρω την ευθύνη για όσα κυκλοφόρησαν στα προϊόντα μας και φέρω την ευθύνη και για την απάντηση.
Οι ομάδες μας σε μηχανική, προϊόν, νομικά και υποστήριξη πελατών εργάζονται με απόλυτη προτεραιότητα για την αποκατάσταση. Ακολουθεί η δική μου αποτύπωση του τι βρέθηκε, τι έχουμε ήδη διορθώσει, τι διορθώνουμε τώρα και τι δεσμευόμαστε να αλλάξουμε στον τρόπο που λειτουργούμε από εδώ και πέρα.
Με βάση τον προκαταρκτικό μας έλεγχο, τα ζητήματα σχετίζονται κυρίως με ιστορικές επιλογές σχεδιασμού σε τμήματα των συστημάτων απομακρυσμένης διάγνωσης, διαχείρισης πρόσβασης και χειρισμού δεδομένων της Yarbo.
Συγκεκριμένα, ορισμένες παλαιότερες δυνατότητες υποστήριξης και συντήρησης δεν παρείχαν στους χρήστες επαρκή ορατότητα ή έλεγχο, ενώ ορισμένοι μηχανισμοί πιστοποίησης και διαχείρισης διαπιστευτηρίων δεν πληρούσαν τα πρότυπα ασφάλειας που περιμένουμε σήμερα από τα προϊόντα μας.
Έχουμε επίσης εντοπίσει σημεία όπου τα δικαιώματα πρόσβασης, οι ρυθμίσεις των backend συστημάτων και οι ροές δεδομένων ανάμεσα στις συσκευές και τις cloud υπηρεσίες χρειάζονται ισχυρότερη προστασία και αυστηρότερους ελέγχους.
Αναγνωρίζουμε τη σοβαρότητα αυτών των ζητημάτων και την ανησυχία που μπορεί να προκάλεσαν στους πελάτες και στην κοινότητά μας. Ζητούμε ειλικρινά συγγνώμη για τον αντίκτυπο αυτής της κατάστασης και δεσμευόμαστε να αντιμετωπίσουμε τα ζητήματα αυτά με διαφάνεια και υπευθυνότητα.
Ενισχύουμε την ασφάλεια του συστήματος περιορίζοντας τις παλαιότερες διαδρομές πρόσβασης, αυστηροποιώντας τα δικαιώματα και προχωρώντας προς πλήρως ελέγξιμα διαπιστευτήρια σε επίπεδο συσκευής. Για να είναι σαφής η πρόοδός μας στην αποκατάσταση, διαχωρίζουμε τις ενέργειες που έχουν ήδη γίνει από εκείνες που βρίσκονται ακόμη σε εξέλιξη.
Τι έχουμε ήδη κάνει
Έχουμε απενεργοποιήσει προσωρινά τους σχετικούς απομακρυσμένους διαγνωστικούς δίαυλους, ώστε να μειωθεί ο κίνδυνος μη εξουσιοδοτημένης πρόσβασης.
Έχουμε ολοκληρώσει επαναφορά των root κωδικών των συσκευών, ώστε να μπλοκάρουμε προσωρινά τον κίνδυνο κοινών διαπιστευτηρίων που εντοπίστηκε και να αποτρέψουμε περαιτέρω επέκταση του προβλήματος.
Έχουμε κλείσει ή περιορίσει ορισμένα endpoints χωρίς πιστοποίηση για έλεγχο κατάστασης και αναφορές.
Έχουμε αρχίσει να περιορίζουμε τις περιττές παλαιές διαδρομές πρόσβασης και να αυστηροποιούμε τα δικαιώματα στα backend συστήματα.
Τι δουλεύουμε τώρα
Εφαρμόζουμε ένα μοντέλο απομακρυσμένης διάγνωσης με allowlist, έγκριση από τον χρήστη και δυνατότητα ελέγχου. Η πρώτη φάση αναμένεται να έχει ολοκληρωθεί μέσα σε μία εβδομάδα. Μόλις υλοποιηθεί, η πρόσβαση στην απομακρυσμένη διάγνωση θα περιορίζεται σε εξουσιοδοτημένο εσωτερικό προσωπικό της εταιρείας, θα μπορεί να χρησιμοποιείται μόνο αφού έχει ληφθεί η άδεια του χρήστη και σταδιακά θα ενταχθεί σε καταγραφή ελέγχου.
Χρησιμοποιούμε OTA ενημερώσεις για να προχωρήσουμε σε ανανέωση διαπιστευτηρίων και σε μηχανισμούς ανεξάρτητων διαπιστευτηρίων ανά συσκευή, αντικαθιστώντας σταδιακά το ιστορικό μοντέλο κοινών κωδικών. Στο μέλλον, κάθε συσκευή θα χρησιμοποιεί τα δικά της ανεξάρτητα διαπιστευτήρια, ώστε μια παραβιασμένη συσκευή να μην επηρεάζει ολόκληρο τον στόλο.
Χτίζουμε και δοκιμάζουμε μια υπηρεσία διαχείρισης διαπιστευτηρίων για τα ρομπότ, ώστε οι κωδικοί των συσκευών να μην είναι πλέον ενσωματωμένοι στο firmware, στα scripts ή στις βάσεις δεδομένων. Αντί γι’ αυτό, τα διαπιστευτήρια θα προκύπτουν δυναμικά με βάση την ταυτότητα της συσκευής. Η πρόσβαση OPS θα καταγράφει επίσης τον επισκέπτη, τον λόγο πρόσβασης, το work order και το χρονικό σήμα.
Ενισχύουμε και άλλες υπηρεσίες πιστοποίησης. Αυτές οι διορθώσεις βρίσκονται αυτή τη στιγμή στο στάδιο των δοκιμών και θα διατεθούν μέσω των επόμενων OTA ενημερώσεων.
Προσαρμόζουμε τα δικαιώματα των topic για να μειώσουμε την κοινή πρόσβαση σε επίπεδο στόλου, να περιορίσουμε το εύρος κάθε διαπιστευτηρίου και να θέσουμε αυστηρότερα όρια γύρω από τις εντολές ελέγχου.
Δοκιμάζουμε μέτρα καθαρισμού που περιλαμβάνουν την αφαίρεση περιττών scripts αναφορών, εξαρτήσεων από παλαιές cloud υπηρεσίες, agents τρίτων και μη ουσιωδών ρυθμίσεων DNS fallback, ώστε να μειωθούν οι ροές δεδομένων που δεν είναι ξεκάθαρα ορατές στους χρήστες. Αυτές οι αλλαγές θα διατεθούν μέσω μελλοντικών OTA ενημερώσεων, αφού ολοκληρωθούν οι δοκιμές.
Οι ιστορικοί servers και τα παλαιότερα κανάλια πρόσβασης θα αποσύρονται σταδιακά, ένα προς ένα, στο πλαίσιο αυτής της διαδικασίας αποκατάστασης.
Επιταχύνουμε επίσης τις OTA ενημερώσεις ασφαλείας και πρόσθετες προστασίες από την πλευρά των servers. Το πρώτο κύμα ενημερώσεων αναμένεται να αρχίσει να διατίθεται μέσα σε μία εβδομάδα. Σημαντικό: αποστέλλεται ενημέρωση firmware ασφαλείας σε όλες τις συσκευές Yarbo. Για να τη λάβετε, συνδέστε τη Yarbo σας στο internet. Μόλις εφαρμοστεί η ενημέρωση, μπορείτε να επιστρέψετε στις προτιμώμενες ρυθμίσεις δικτύου. Αν προτιμάτε να κρατήσετε τη συσκευή σας εκτός σύνδεσης προς το παρόν, μπορείτε να το κάνετε χωρίς να επηρεάζεται η εγγύηση ή η κάλυψη σέρβις. Θα σας ειδοποιήσουμε όταν η ενημέρωση είναι έτοιμη, ώστε να συνδεθείτε για λίγο και να την εφαρμόσετε.
Αυτή η προσπάθεια αποκατάστασης δεν περιορίζεται σε μία μόνο διόρθωση ή σε μία ενημέρωση λογισμικού. Χρησιμοποιούμε αυτή τη διαδικασία για να ενισχύσουμε τη μακροπρόθεσμη αρχιτεκτονική ασφάλειας και τα πρότυπα διακυβέρνησης πίσω από τα προϊόντα μας.
Οι ενέργειες αυτές περιλαμβάνουν την ενίσχυση των προτύπων ελέγχου πρόσβασης, τη βελτίωση των μοντέλων πιστοποίησης και εξουσιοδότησης, την αύξηση της ορατότητας και του ελέγχου των χρηστών πάνω στις λειτουργίες απομακρυσμένης διάγνωσης και τον περαιτέρω περιορισμό των περιττών παλαιών μηχανισμών υποστήριξης σε σχετικά συστήματα και υποδομές.
Θα συνεχίσουμε επίσης να επεκτείνουμε τις εσωτερικές διαδικασίες ελέγχου ασφαλείας, αποκατάστασης και διακυβέρνησης, ώστε να στηρίξουμε ισχυρότερες μακροπρόθεσμες πρακτικές ασφάλειας. Στόχος μας είναι η ασφάλεια, η διαφάνεια και η εμπιστοσύνη των χρηστών να αποτελούν θεμέλιο των μελλοντικών συστημάτων και υπηρεσιών της Yarbo.
Ορισμένα σημεία στην εξωτερική αναφορά περιγράφουν πραγματικά ζητήματα ασφάλειας, ενώ άλλα χρειάζονται διευκρίνιση, επειδή δεν αφορούν προϊόντα της Yarbo που διατίθενται σήμερα ή δεν αποτελούν ανεξάρτητες ευπάθειες ασφαλείας.
FRP Auto-Restart and Persistence
Η αναφορά αναφέρει επίσης ότι ο FRP client μπορεί να επανεκκινείται μέσω προγραμματισμένων εργασιών ή μηχανισμών αποκατάστασης υπηρεσιών. Αναγνωρίζουμε ότι αυτό μπορεί να κάνει τη χειροκίνητη απενεργοποίηση των καναλιών απομακρυσμένης πρόσβασης πιο δύσκολη, αλλά το βασικό ζήτημα βρίσκεται στην ύπαρξη, στα δικαιώματα και στην πολιτική του ίδιου του remote tunnel. Η δική μας αποκατάσταση επικεντρώνεται στην απενεργοποίηση ή τον περιορισμό των tunnels, στην εισαγωγή allowlisting και δυνατότητας ελέγχου και στην αφαίρεση των περιττών επίμονων διαδρομών απομακρυσμένης πρόσβασης.
File Monitoring and Self-Recovery
Η αναφορά κάνει λόγο για συμπεριφορά παρακολούθησης αρχείων που μπορεί να αποκαθιστά ορισμένα διαγραμμένα αρχεία ή υπηρεσίες. Αυτός ο μηχανισμός σχεδιάστηκε αρχικά ως αμυντικό μέτρο αξιοπιστίας, ώστε να αποτρέπεται η τυχαία διαγραφή ή αλλοίωση κρίσιμων αρχείων υπηρεσιών. Από μόνος του δεν είχε σκοπό να λειτουργεί ως λειτουργία απομακρυσμένης πρόσβασης.
Ωστόσο, αναγνωρίζουμε ότι κάθε μηχανισμός που καθιστά δύσκολη για τους χρήστες την αφαίρεση στοιχείων σχετικών με απομακρυσμένη πρόσβαση μπορεί να δημιουργήσει ανησυχίες εμπιστοσύνης. Εξετάζουμε ποια αρχεία πρέπει να παραμείνουν προστατευμένα και ποια στοιχεία πρέπει να αφαιρεθούν, να απλουστευτούν ή να περάσουν στον έλεγχο του χρήστη.
Historical or Non-Production Configurations
Ορισμένα ευρήματα αφορούν ιστορικές υποδομές, παλαιές cloud υπηρεσίες, προσαρμογές για αντιπροσώπους ή εσωτερικές δοκιμαστικές ρυθμίσεις. Αυτά παραμένουν υπό εξέταση και καθαρίζονται όπου χρειάζεται, αλλά πρέπει να διακρίνονται από την προεπιλεγμένη συμπεριφορά των μονάδων παραγωγής που διατίθενται σήμερα.
Στόχος μας είναι να είμαστε ακριβείς: δεν θα υποβαθμίσουμε επιβεβαιωμένα ζητήματα ασφάλειας, αλλά θέλουμε επίσης οι χρήστες να κατανοούν ποια ευρήματα αφορούν συσκευές παραγωγής, ποια αφορούν μόνο ιστορικές ή προσαρμοσμένες ρυθμίσεις και ποια αντιμετωπίζονται στο πλαίσιο ευρύτερων προσπαθειών ενίσχυσης της ασφάλειας.
Για να βελτιώσουμε τις αναφορές ασφάλειας στο μέλλον, λανσάρουμε ειδικό κανάλι ανταπόκρισης ασφαλείας και διαδικασία επικοινωνίας για αναφορές ευπαθειών και υπεύθυνη δημοσιοποίηση:
Το κοινό θα μπορεί επίσης να βρει τα στοιχεία επικοινωνίας για την ασφάλεια στη σελίδα Yarbo Security Center, στην ενότητα “Explore” της επίσημης ιστοσελίδας μας.
Εξετάζουμε επίσης τη δυνατότητα δημιουργίας επίσημου bug bounty προγράμματος ως μέρος των ευρύτερων μακροπρόθεσμων πρωτοβουλιών μας για την ασφάλεια.
Εκτιμούμε τον ρόλο που έχουν οι ανεξάρτητοι ερευνητές ασφάλειας στον υπεύθυνο εντοπισμό πιθανών ζητημάτων και παραμένουμε προσηλωμένοι στην ενίσχυση της ασφάλειας, της διαφάνειας και της αξιοπιστίας των προϊόντων μας.
Καθώς η έρευνα και η αποκατάσταση συνεχίζονται, θα παρέχω πρόσθετες ενημερώσεις μόλις είναι διαθέσιμες.
