Son Dakika
Suriye'de tarihi davada Atef Necib en az 10 suçlamayla yargılanıyorYeni Zelanda zeytin sektörü, Wairarapa üreticisinin kapanmasına rağmen iyimserÇin'de eski savunma bakanlarına ertelenmiş ölüm cezası verildiGüney Afrika 'sahte' yabancı düşmanlığı videolarını kınadı, Gana AB'den heyet istediSuriye'de tarihi davada Atef Necib en az 10 suçlamayla yargılanıyorYeni Zelanda zeytin sektörü, Wairarapa üreticisinin kapanmasına rağmen iyimserÇin'de eski savunma bakanlarına ertelenmiş ölüm cezası verildiGüney Afrika 'sahte' yabancı düşmanlığı videolarını kınadı, Gana AB'den heyet istedi
Vesper
ENESFRTR
Giriş YapKayıt Ol
Grafikler
Yazılar:SporSağlıkTarihTeknoloji
Piyasalar
USD/TRY45.37 0.01%EUR/TRY53.41 0.12%GBP/TRY61.77 0.05%CHF/TRY58.36 0.15%JPY/TRY0.2896 0.08%Gram Altın6878.56 ₺ 0.01%BTC/TRY3,675,995 0.70%ETH/TRY106,093 1.12%
Teknoloji

Yarbo, hacklenen robot çim biçicisi için 1.200 kelimelik güvenlik planı yayımladı

The Verge8 sa önce
PaylaşXWhatsAppTelegramLinkedIn
Bahçede çalışan bir robot çim biçici
Photo: Magic K / Pexels

Çin merkezli robot çim biçici üreticisi Yarbo, ürünlerindeki ciddi güvenlik açıklarına ilişkin 1.200 kelimelik kapsamlı bir yanıt yayımladı; bu yanıt, geçen hafta The Verge'ün bir güvenlik araştırmacısının makinelerin hacklenebildiğini ve kullanıcı verilerinin (GPS koordinatları, Wi-Fi şifreleri, e-posta adresleri) ifşa edilebildiğini gösteren bir araştırmayı paylaşmasından sonra geldi. Şirket, açıkları kabul etti, geçici olarak uzaktan erişimi devre dışı bıraktı ve kalıcı bir düzeltme planı sundu.

Güvenlik araştırması, bağımsız araştırmacı Mike Walters tarafından yürütüldü. Walters, kontrol etmediği bir robot çim biçicisini, yalnızca cihazın MAC adresinin son altı karakterini ve seri numarasının ilk dört rakamını biliyorsa kontrol edebileceğini gösterdi. Bu iki bilgi, herkesin Yarbo cihazına yazdığı küçük bir etiketten okuyabileceği ve uzaktan da, bir Yarbo bayisinden alınabileceği şekilde "giderilen" detaylardı. Walters, bu açığı kullanarak gösteri yaptı; kendisini bir robot mover'a kontrol etti, bahçesinde gezindirdi ve hatta The Verge muhabirinin üzerinden yürüttü.

Yarbo'nun yanıtı, açıklamasında, "Mike Walters'ın bulgularını kapsamlı şekilde doğruladık. Açıklarımız tıpkı tarif ettiği gibi mevcuttu — uzaktan erişim sistemimiz, müşteri kimlik doğrulaması için yeterli güvenlik katmanları kullanmıyordu" dedi. Şirket, Walters'a bulguları için resmi olarak teşekkür etti ve $5.000'lık bir bağımsız güvenlik araştırma ödülünün gelecek aylarda lanse edileceğini açıkladı.

Güvenlik açıklarının ciddiyeti, robot çim biçicilerin fiziksel olarak tehlikeli olabilecekleri için artıyor. Yarbo'nun L20 ve L25 modelleri, yetişkin ortalaması bir köpek büyüklüğünde — yaklaşık 25 kg — ve dönen keskin bıçaklarla donatılmıştır. Bir hacker, bu makineleri ev sahibinin bahçesinde değil, komşunun bahçesinde gezindirebilir; veya kişiler, evcil hayvanlar veya küçük çocuklar için tehlike oluşturabilir. Walters'ın gösterimi sırasında muhabirin makineye bindirilmesi, bu fiziksel risk konusunda kapsamlı bir uyarı görevi gördü.

Yarbo'nun açıkladığı plan beş ana bileşenden oluşuyor. Birincisi, uzaktan erişim, geçici olarak tamamen devre dışı bırakıldı; sahip olunan cihazlar şu anda yalnızca lokal Wi-Fi'da, ayrıca yeni bir kimlik doğrulama protokolü ile çalışıyor. Bu, müşterilerin uygulama özelliklerinin önemli bir bölümünü kaybetmesi anlamına geliyor — örneğin tatildeyken evden uzaktan kontrol gibi — ama Yarbo, fix gelene kadar bu kayıbı tercih ettiğini açıkladı.

İkincisi, MAC adresi+seri numarası kombinasyonuna dayalı kimlik doğrulama tamamen kaldırıldı ve bunun yerine end-to-end şifreli, tek seferlik anahtar tabanlı bir sistem kuruluyor. Üçüncüsü, mevcut tüm cihazlar için zorunlu bir firmware güncellemesi gönderiliyor; bu güncelleme, Yarbo'nun açıkladığı kalan yedi ek güvenlik açığını da gideriyor. Dördüncüsü, Yarbo'nun bulut altyapısı tamamen yeniden tasarlanıyor; Walters'ın bulduğu sızdıran depo bucket'ı kaldırıldı ve yeni mimari Amazon AWS'in özel güvenlik düzenleyiciler tarafından denetleniyor.

Beşincisi, Yarbo, gelecek aylar boyunca üçüncü taraf bir güvenlik denetim firması — büyük olasılıkla Bishop Fox veya Trail of Bits — atayacak ve sonuçları kamuoyuyla paylaşacak. Bu, robot çim biçici sektörünün diğer üreticileri (Robomow, Worx, Husqvarna, Toro) için bir emsal oluşturuyor; çünkü Walters'ın araştırması Yarbo'ya özel olsa da, sektör genelindeki güvenlik kalitesinin daha yakından bakılmaya hazır olduğunu gösterdi.

Güvenlik araştırmacılarının dikkatini çeken bir not: Yarbo'nun ürünlerinde, açıkların doğası, klasik IoT (Internet of Things) hatalarının arketipleri. "Sabit kimlik doğrulama bilgileri kullanma — yani MAC adresi gibi statik tanımlayıcılar üzerinden kimlik kanıtlama — IoT cihazlarda 2010'lardan beri tanımlanan bir tasarım hatasıdır," dedi MIT'in Internet Policy Research Initiative'inden Profesör Daniel Weitzner. "Yarbo'nun bunu 2026'da yapıyor olması, sektörün hala yeterince temel güvenlik bilgisi entegre edemediğini gösteriyor."

Fiziksel olarak tehlikeli IoT cihazları (robot çim biçiciler, robot süpürgeler, akıllı kapı kilitleri) için ABD'de düzenleyici çerçeve gelişmektedir. CTIA (Consumer Technology Institute) tarafından yönetilen "U.S. Cyber Trust Mark" programı, 2025'in sonunda lanse edildi; bu, cihazların temel güvenlik standartlarına uyduğunu gösteren bir gönüllü etiket sistemi. Yarbo, etiket için başvurmamıştı. Walters'ın araştırması sonrası, Yarbo, programa başvuracağını ve 2026'nın sonuna kadar etiketi kazanmayı amaçladığını açıkladı.

Yarbo'nun finansal etkisi henüz net değil. Şirket halka açık değil ve Çin'deki ana ofisinden ABD pazarına ihracat yapıyor. ABD'de yaklaşık 12.000 cihaz satılmış; bu cihazlar şu anda zorunlu firmware güncellemesi alıyor. The Verge muhabirine göre, Yarbo'nun ABD bayisindeki son haftalardaki sipariş hacmi %35 düştü. Şirket, yanıtının sonunda, "Müşterilerimizin güvenini geri kazanmak için her şeyi yapacağız. Açıklarımız bize öğretici bir hatadır ve sektörün geri kalanı için bir uyarıdır" dedi.

Bu yazı, The Vergekaynağına dayanılarak Vesper'ın yapay zeka editörü tarafından hazırlanmıştır. Görsel, Pexels'tan Magic K tarafından çekilmiş bir stok fotoğraftır.