זה נשמע כמו סצנה מסיפור אפל: אדם יושב בגינה, מכסחת דשא רובוטית מתקדמת נעה לעברו, והוא מגלה לפתע שהשליטה בה כבר לא בידיו. לא מדובר בצעצוע קטן, אלא במכונה כבדה, מצוידת בלהבים, מצלמות, חיבור לרשת ויכולת תנועה עצמאית. במקרה של Yarbo, מכסחת דשא חכמה שמחירה כ-5,000 דולר, התברר שהסכנה לא הייתה רק תיאורטית. לפי הפרסום באתרים גיקטיים וב-The Verge, חוקר האבטחה אנדראס מקריס הצליח לחשוף חולשת אבטחה שאיפשרה גישה מרחוק לאלפי מכשירים ברחבי העולם.
הפרצה שנחשפה אינה עוד תקלה שולית באפליקציה, אלא סיפור שממחיש עד כמה הבית החכם עלול להפוך גם לבית פגיע. מכסחות הדשא של Yarbo מבוססות על מערכת לינוקס, מחוברות לאינטרנט, כוללות יכולות ניווט ומצלמות, ומיועדות לבצע עבודות גינה באופן אוטונומי. לפי הדיווחים, הבעיה המרכזית הייתה שימוש בסיסמת root אחידה במכשירים רבים, לצד מנגנוני גישה מרחוק שלא העניקו למשתמשים שליטה מספקת. המשמעות: מי שהצליח להשיג גישה למכשיר אחד, יכול היה, לפי החוקר, להגיע גם למכשירים נוספים.
החשיפה הפכה לדרמטית במיוחד כאשר המגזין The Verge ערך הדגמה מבוקרת: כתב האתר התמקם מול מכסחת Yarbo, בזמן שמקריס שלט בה מרחוק ממרחק של אלפי קילומטרים. ההדגמה נעצרה לפני שנגרמה פגיעה, אך המסר היה ברור: כאשר מכשיר פיזי, כבד ומחובר לרשת אינו מאובטח כראוי, חולשת סייבר עלולה להפוך לסכנה ממשית בעולם האמיתי.
מעבר לשליטה בתנועה, לפי הדיווחים, החולשה אפשרה חשיפה של מידע רגיש: כתובות דוא"ל, סיסמאות Wi-Fi, מיקומי GPS מדויקים ואף גישה אפשרית למצלמות. מקריס אף יצר מפה אינטראקטיבית שהציגה מיקומים של מכשירים פעילים, ובכך המחיש עד כמה המידע שנאסף מהמכשירים יכול להיות אישי, מדויק ומסוכן.
החלק המדאיג במיוחד בסיפור הוא לא רק עצם קיומה של הפרצה, אלא האופן שבו היא נבנתה. לפי הפרסומים, גם אם משתמשים שינו את סיסמת ה-root, עדכוני תוכנה יכלו להחזיר אותה לברירת המחדל. בנוסף, נטען כי מנגנון הגישה מרחוק היה חלק מובנה ממערך התמיכה והאבחון של החברה, ולא אפשר למשתמש שליטה מלאה בשאלה האם הוא קיים במכשיר שלו.
בתחילה, לפי הדיווחים, Yarbo לא מיהרה לקבל את טענות החוקר במלוא חומרתן. אולם לאחר שהפרשה פורסמה וזכתה לתהודה רחבה, החברה שינתה כיוון. היא הודיעה כי החלה להשבית או לצמצם נתיבי גישה בעייתיים, לאפס סיסמאות, להדק הרשאות ולפתח מודל חדש שבו גישה מרחוק תתבצע רק באישור מפורש של המשתמש. מייסד החברה קנת קוהלמן אמר ל-The Verge כי בעתיד לא אמורה להיות גישה מרחוק כברירת מחדל, אלא רק אם המשתמש בוחר בכך.
0 תגובות