Güvenlik araştırmacısı Andreas Makris, Yarbo’nun modüler robot çim biçme makinelerinde uzaktan ele geçirmeye yol açan ciddi açıklar tespit etti. The Verge’in sahada yaptığı gösterimde Makris, ABD’deki bir kullanıcının Yarbo’sunu Avrupa’dan kontrol edebildi; cihazın kamerasına erişti, sürüş komutlarını verdi ve makinenin güvenlik kilitlerini yazılımsal olarak aşmanın mümkün olduğunu anlattı. Ayrıca sahiplerin e‑posta adresleri, Wi‑Fi şifreleri ve evlerinin GPS konumları gibi kişisel bilgilere uzaktan ulaşılabildiğini gösterdi.
Ne bulundu, neden kritik?
- Tüm Yarbo’larda aynı “root” parolasının kullanıldığı, hatta yazılım güncellemesi sonrasında kullanıcı değiştirse bile parolanın tekrar varsayılan değere döndüğü belirtildi. Bu durum saldırganın bir cihazdan tüm filoya sıçramasını kolaylaştırıyor.
- Cihazlarda uzaktan bakım için kurulu, kullanıcı tarafından kapatılamayan ve fabrika ayarlarına döndürünce de geri gelen kalıcı bir “arka kapı” (uzaktan erişim tüneli) bulundu. Bu bileşenin varlığı CVE-2026-7413 olarak kayda geçti.
- Makris, MQTT tabanlı filo kontrolünde zayıf yapılandırmaların da yetkisiz erişimi kolaylaştırdığını, böylece cihazların yerinin keşfedilip topluca komut verilebildiğini raporladı (ek CVE’lerle birlikte).
- Araştırmacı, ABD ve Avrupa’da yaklaşık 5.400 Yarbo tespit ettiğini; küresel ölçekte 11 binden fazla cihazı izleyebildiğini söyledi.
- Teorik olarak cihaz, ev ağınıza köprü olup içeriden keşif yapabilir; hatta bir botnete dönüştürülerek kötü amaçlı trafiğin sizin internet bağlantınız üzerinden gönderilmesine zemin hazırlayabilir.
Makris’in teknik bulguları, yayımladığı ayrıntılı raporda ve ilişkilendirilmiş CVE kayıtlarında yer alıyor. Raporda; FRP tabanlı kalıcı tünel, paylaşılan kimlik bilgileri, üretim APK’sında sert kodlanmış veriler ve üçüncü taraf hizmetlere giden telemetri gibi başlıklar öne çıkıyor.
Yarbo’nun yanıtı: Şirket 8 Mayıs 2026’da yayımladığı açıklamada bulguların “özünde doğru” olduğunu kabul etti, ilk tepkilerinin yetersiz kaldığını belirtti ve bir dizi acil adım duyurdu. Buna göre; riskli uzaktan teşhis tünelleri geçici olarak devre dışı bırakıldı, cihazların root parolaları filodaki yayılımı sınırlamak için sıfırlandı, yetkisiz bazı uç noktalar kapatıldı. Kısa vadede kullanıcı onayına dayalı, izin listeli ve kayda geçen bir uzaktan teşhis modeli devreye alınacak; her cihaza özgü kimlik bilgilerine geçilecek; sert kodlanmış parolalar kaldırılacak; ek sertleştirme güncellemeleri OTA ile yayınlanacak. Şirket, güvenlik güncellemesinin bir hafta içinde dalgalar halinde gönderileceğini; isteyenlerin bu süreçte cihazı çevrimdışı tutabileceğini de belirtiyor.
Şimdilik kullanıcılar ne yapmalı?
- Güncelleme gelene kadar cihazı ev ağınızdan ve hücreselden ayırmayı düşünebilirsiniz; güncellemeyi almak içinse Yarbo’nun duyurduğu zaman aralığında kısa süreli çevrimiçi olun.
- Robotlar için ayrı bir misafir Wi‑Fi ağı kullanmak, yetkisiz erişimlerin evinizdeki diğer cihazlara sıçrama riskini azaltır.
- Güncellemeleri ve Yarbo’nun güvenlik sayfasındaki (Security Center) bildirimleri düzenli kontrol edin.
Özetle; modern robotik ürünler artık küçük bilgisayarlar ve ev ağının bir parçası. Bu nedenle “uzaktan destek” gibi kolaylık sağlayan özellikler şeffaf izin, kayıt ve cihaz başına kimlik bilgisiyle sıkı şekilde sınırlandırılmadığında ciddi güvenlik ve mahremiyet sorunlarına dönüşebiliyor. Yarbo’nun vaat ettiği düzeltmeler hızlıca ve eksiksiz uygulanırsa risk önemli ölçüde düşebilir; ancak üreticilerin tasarım aşamasından itibaren güvenliği merkeze koyması artık kaçınılmaz.
Kaynak: www.techspot.com