एक जर्मन सुरक्षा शोधकर्ता ने यारबो के इंटरनेट से जुड़े रोबोट लॉनमोवर्स में कमजोरियों का एक गंभीर सेट उजागर किया है, जिससे पता चलता है कि मशीनों को दुनिया में कहीं से भी दूर से एक्सेस और नियंत्रित किया जा सकता है। द वर्ज द्वारा रिपोर्ट किए गए एक लाइव प्रदर्शन में, एंड्रियास माक्रिस लगभग 6,000 मील दूर से एक यार्बो इकाई को चलाने में सक्षम था, यहां तक कि रिपोर्टर ने यह दिखाने के लिए घास काटने की मशीन के रास्ते में भी झूठ बोला कि दोष कितना खतरनाक हो सकता है। जांच में कहा गया है कि समस्या ने वैश्विक स्तर पर 11,000 से अधिक उपकरणों को प्रभावित किया है और न केवल गोपनीयता के बारे में, बल्कि शारीरिक सुरक्षा के बारे में भी चिंता जताई है, क्योंकि रोबोट घूमने वाले ब्लेड ले जाते हैं और लोगों के यार्ड में स्वायत्त रूप से काम कर सकते हैं।
कैसे हैकर्स हजारों रोबोट लॉनमूवर्स को दूर से नियंत्रित कर सकते हैं
माक्रिस के निष्कर्ष यार्बो के रिमोट डायग्नोस्टिक, क्रेडेंशियल प्रबंधन और डेटा-हैंडलिंग सिस्टम में कमजोरियों के समूह पर केंद्रित थे। शोधकर्ता ने पाया कि रोबोट एक ही हार्डकोडेड रूट पासवर्ड साझा करते हैं, जबकि फर्मवेयर में एक बैकडोर भी शामिल होता है जिसका उपयोग रिमोट एक्सेस के लिए किया जा सकता है। रिपोर्टों में कहा गया है कि उपकरणों को उनके ब्लेड को घुमाने, घरेलू नेटवर्क की जांच करने और संभावित रूप से एक बॉटनेट में मोड़ने के लिए बनाया जा सकता है।जोखिम डिजिटल पहुंच तक सीमित नहीं था। कथित तौर पर माक्रिस सिस्टम से मालिकों के ईमेल पते, वाई-फाई पासवर्ड और उनके घरों के सटीक जीपीएस निर्देशांक खींच सकता है, साथ ही कैमरा फ़ीड तक भी पहुंच सकता है। इसका मतलब यह है कि एक क्षतिग्रस्त घास काटने की मशीन एक निगरानी उपकरण और एक भौतिक खतरा दोनों बन सकती है। एक लाइव प्रदर्शन में एक रिमोट से नियंत्रित रोबोट को एक रिपोर्टर की ओर बढ़ते हुए दिखाया गया, जो इस बात पर जोर देता है कि अगर सुरक्षा खामियों का फायदा उठाया गया तो एक साधारण यार्ड मशीन कैसे खतरनाक हो सकती है।
एक्सपोज़र का पैमाना
कथित तौर पर माक्रिस दुनिया भर में 11,000 से अधिक यार्बो उपकरणों पर नज़र रख रहा था, प्रदर्शन के समय संयुक्त राज्य अमेरिका और यूरोप में लगभग 5,400 मैप किए गए थे। रिपोर्ट में यह भी कहा गया है कि कंपनी लॉन घास काटने की मशीन, लीफ ब्लोअर, स्नोब्लोअर, ट्रिमर या एडगर के रूप में काम करने में सक्षम मॉड्यूलर यार्ड रोबोट बेचती है, जो सभी एक ही कोर मशीन द्वारा संचालित होते हैं। उस वास्तुकला का मतलब था कि कमजोरियाँ संभावित रूप से यारबो के लाइनअप में कई उत्पादों को प्रभावित कर सकती हैं।
सीवीई तकनीकी जोखिमों की व्याख्या करते हैं
यह खुलासा कई आधिकारिक तौर पर ट्रैक की गई सुरक्षा कमजोरियों द्वारा समर्थित था। यूएस नेशनल वल्नरेबिलिटी डेटाबेस के अनुसार, एक दोष में यारबो के फर्मवेयर के अंदर एक छिपा हुआ पिछला दरवाजा शामिल था जो उचित प्रमाणीकरण के बिना रोबोट तक दूरस्थ पहुंच की अनुमति दे सकता था। शोधकर्ताओं ने कहा कि पिछले दरवाजे को सामान्य उपयोगकर्ता सेटिंग्स के माध्यम से अक्षम नहीं किया जा सकता है और फ़ैक्टरी रीसेट या सॉफ़्टवेयर अपडेट के बाद भी यह सक्रिय रहेगा।एक अन्य भेद्यता में घास काटने वाली मशीन की एमक्यूटीटी संचार प्रणाली शामिल थी, जो कथित तौर पर उचित सुरक्षा प्रतिबंधों के बिना गुमनाम कनेक्शन की अनुमति देती थी। सरल शब्दों में, एक ही नेटवर्क पर कोई व्यक्ति संभावित रूप से संवेदनशील डेटा को इंटरसेप्ट कर सकता है या सीधे रोबोट को कमांड भेज सकता है।एक अलग सुरक्षा सलाह से यह भी पता चला कि यारबो डिवाइस कथित तौर पर सभी मशीनों में एक ही अंतर्निहित व्यवस्थापक उपयोगकर्ता नाम और पासवर्ड का उपयोग करते थे। शोधकर्ताओं ने कहा कि उपयोगकर्ता इन क्रेडेंशियल्स को स्थायी रूप से बदल नहीं सकते हैं या हटा नहीं सकते हैं, जिसका अर्थ है कि जिसने भी उन्हें खोजा है वह संभावित रूप से घास काटने की मशीन के आंतरिक सिस्टम और दूरस्थ प्रबंधन नियंत्रण तक गहरी पहुंच प्राप्त कर सकता है।
यार्बो ने कैसे प्रतिक्रिया दी
यार्बो ने बाद में एक आधिकारिक अपडेट में समस्या को स्वीकार किया और कहा कि मुख्य तकनीकी निष्कर्ष सटीक थे। कंपनी ने कहा कि उसने अस्थायी रूप से रिमोट एक्सेस को बंद कर दिया है और सुधार पर काम कर रही है, जिसमें मजबूत एक्सेस कंट्रोल, बेहतर प्रमाणीकरण, रिमोट डायग्नोस्टिक सुविधाओं पर अधिक उपयोगकर्ता दृश्यता और अनावश्यक विरासत समर्थन तंत्र में कमी शामिल है। द वर्ज की अनुवर्ती रिपोर्ट में कहा गया है कि यार्बो ने माफी भी मांगी थी और एक समर्पित सुरक्षा प्रतिक्रिया केंद्र बनाया था।
कनेक्टेड डिवाइस के यूजर्स को इससे क्या लेना चाहिए
घटना से पता चलता है कि मालिकों को उन उपकरणों के बारे में क्यों सतर्क रहना चाहिए जो क्लाउड एक्सेस और रिमोट डायग्नोस्टिक्स पर निर्भर हैं। रोबोट लॉनमॉवर्स और अन्य IoT उत्पादों के लिए, सबसे सुरक्षित तरीका फर्मवेयर को अपडेट रखना, रिमोट-एक्सेस सेटिंग्स की समीक्षा करना, जहां संभव हो, अलग-अलग होम नेटवर्क पर डिवाइस को अलग करना और विक्रेता सुरक्षा प्रकटीकरण पर ध्यान देना है। यारबो के मामले में, आधिकारिक प्रतिक्रिया से पता चलता है कि कुछ सुधार चल रहा है, लेकिन प्रकटीकरण से ही पता चलता है कि जब सुरक्षा बहुत देर से शुरू की जाती है तो सुविधा कितनी जल्दी जोखिम में बदल सकती है।
Discover more from Star News 24 Live
Subscribe to get the latest posts sent to your email.
