Η εταιρεία πίσω από το ρομποτικό χλοοκοπτικό που με παρέσυρε έχει αλλάξει στάση. Η Yarbo σχεδιάζει πλέον να αφαιρέσει πλήρως το απομακρυσμένο backdoor access, το οποίο θα μπορούσε να επιτρέψει σε κακόβουλους χρήστες να επαναπρογραμματίσουν το ρομπότ μέσω διαδικτύου. Οι πελάτες της Yarbo θα μπορούν να αποφασίσουν αν η λειτουργία αυτή θα εγκατασταθεί εξαρχής ή όχι, δήλωσε στο The Verge ο συνιδρυτής της εταιρείας, Kenneth Kohlmann.
Η Yarbo είχε ήδη δεσμευτεί την Παρασκευή ότι θα αντιμετωπίσει κατά μέτωπο πολλά ζητήματα ασφαλείας, κλείνοντας τα κενά που επέτρεψαν στον ερευνητή ασφάλειας Andreas Makris να παραβιάσει εύκολα οποιοδήποτε από τα ρομπότ με λεπίδες από την άλλη άκρη του κόσμου, ενώ αποκάλυπτε επίσης email και τοποθεσίες GPS. Όμως, όταν η συζήτηση έφτασε στη σοβαρότερη ευπάθεια, η εταιρεία σταμάτησε εκεί. Τότε είχε πει ότι θα διατηρήσει ανοιχτό ένα απομακρυσμένο backdoor, ώστε «εξουσιοδοτημένο προσωπικό της εταιρείας» να μπορεί να βοηθά απομακρυσμένα στη διάγνωση προβλημάτων των συσκευών, μόνο που πλέον θα υπήρχαν περισσότερα μέτρα προστασίας γύρω του.
Δεν θα έπρεπε οι πελάτες της Yarbo να αποφασίζουν αν τα ρομπότ τους θα διαθέτουν καθόλου μόνιμο backdoor; Όταν ρωτήσαμε την περασμένη εβδομάδα, η εταιρεία αρχικά έδειξε πως η απάντηση ήταν όχι. «Η πλήρης αφαίρεση της δυνατότητας απομακρυσμένης διάγνωσης θα μείωνε την ικανότητά μας να βοηθάμε τους πελάτες να λύνουν γρήγορα ζητήματα ασφάλειας, συνδεσιμότητας και σέρβις, ειδικά σε περιπτώσεις όπου η φυσική επιθεώρηση δεν είναι πρακτική», είπαν το Σάββατο οι εκπρόσωποι Showan Hou και Maggie Zhou. Η εταιρεία ανέφερε τότε ότι εξακολουθούσε να εξετάζει λύσεις και ότι ίσως δώσει στους χρήστες δυνατότητα εξαίρεσης.
Ωστόσο, μέχρι τη Δευτέρα, όταν ο Kohlmann με κάλεσε από το αεροδρόμιο, η εταιρεία είχε αποφασίσει να πάει ένα βήμα παραπέρα. Το κάνει λειτουργία opt-in, που θα μπορεί να εγκατασταθεί μόνο αν ο χρήστης το επιλέξει. «Στο μέλλον δεν θα πρέπει να υπάρχει απομακρυσμένο backdoor, εκτός αν ο χρήστης αποφασίσει να το ενεργοποιήσει», είπε στο The Verge.
Ο Kohlmann προειδοποιεί ότι θα χρειαστεί χρόνος για να αφαιρεθεί αυτό το tunnel, ενώ τα απαραίτητα αρχεία για την εγκατάσταση νέας έκδοσης μπορεί ακόμη, τεχνικά, να είναι αποθηκευμένα στον εσωτερικό χώρο κάθε ρομπότ. «Πιθανότατα θα είναι ένα setup script που θα βρίσκεται στο μηχάνημα και δεν θα κάνει τίποτα αν δεν το ενεργοποιήσει ο χρήστης», λέει. «Αν το ενεργοποιήσει, τότε εγκαθιστά ένα προσωρινό one-time tunnel».
Πιθανότατα, προσθέτει, θα δοκιμάζατε πρώτα να ανεβάσετε το αρχείο καταγραφής σας στο τεχνικό τμήμα της Yarbo. Αν αυτό δεν αρκεί για να διαγνωστεί το πρόβλημα, θα μπορούσατε προαιρετικά να εγκαταστήσετε και τη λειτουργία απομακρυσμένης πρόσβασης.
Ίσως είναι δύσκολο να διαπιστωθεί αν η Yarbo τηρεί την υπόσχεσή της να αφαιρέσει το απομακρυσμένο access tunnel από προεπιλογή, καθώς ήδη ενισχύει την ασφάλεια των ρομπότ της — όπως πρέπει — μετά το δημοσίευμά μας. Ο Kohlmann λέει ότι σύντομα κάθε συσκευή θα έχει μοναδικό root password, το οποίο η Yarbo δεν θα παρέχει στους τελικούς χρήστες. Τα firmware updates έχουν ήδη δοθεί στα πρώτα 1.000 μηχανήματα και θα συνεχίσουν να φτάνουν σε επόμενες παρτίδες ρομπότ.
Ο Kohlmann λέει επίσης ότι η εταιρεία βρίσκεται πλέον σε επαφή με τον Makris και ότι είναι πιθανό ο ερευνητής ασφάλειας να μπορέσει να επιβεβαιώσει τις αλλαγές.
Αυτός είναι ο τίτλος για τη native διαφήμιση
