Beribu Mesin Pemotong Rumput Yarbo Terpapar Kata Sandi yang Sama di Seluruh Dunia
Peneliti keamanan Andreas Makris baru-baru ini menemukan celah serius pada mesin pemotong rumput robotik Yarbo yang memungkinkan akses jarak jauh menggunakan kredensial administrator default yang sama di ribuan unit. Mesin-mesin otomatis ini dilengkapi dengan kamera, GPS, dan peta AI, beroperasi di lebih dari 30 negara tanpa pengawasan manusia yang terus-menerus.
Makris berhasil menunjukkan kerentanan ini dengan mengakses alamat email pemilik, kata sandi Wi-Fi, dan lokasi GPS yang tepat. Dia bahkan memetakan lebih dari 11.000 perangkat di seluruh dunia secara langsung.
Perangkat Linux Siap Jadi Senjata
Mesin pemotong rumput Yarbo berjalan di sistem Linux yang terhubung ke internet, berfungsi layaknya komputer yang terpapar. Para peretas secara teori dapat mengaktifkan bilah pemotong dari jarak jauh, memindai jaringan di sekitarnya, atau bahkan menyatukan perangkat ini menjadi sebuah botnet untuk serangan lebih besar.
Makris mencatat bahwa unit yang beroperasi dekat situs-situs kritis, seperti pembangkit listrik besar, menambah risiko terhadap infrastruktur. Bahaya dari kerentanan ini diperlihatkan saat ujicoba langsung oleh The Verge, saat mereka berhasil menguasai mesin pemotong seberat 90 kg yang beroperasi di luar rumah sebuah keluarga di New York.
“Kamera robot berputar untuk mencerminkan setiap gerakannya,” ungkap laporan tersebut, memperingatkan bahwa “tak banyak yang bisa menghentikannya untuk beroperasi di mana saja, mengintip keluarga ini.”
Jurnalis Sean Hollister menguji klaim keamanan sebelumnya dari Yarbo dengan berbaring di jalur mesin pemotong dari Jerman, sekitar 6.000 mil jaraknya. Eksperimen ini mengungkap seberapa mudahnya seorang luar dapat mengendalikan perangkat, mengabaikan kontrol lokal tanpa terdeteksi.
Sayangnya, pembaruan firmware reguler tidak berhasil menyelesaikan masalah inti, karena dilaporkan mengatur ulang perangkat kembali ke kata sandi default yang lemah. Perubahan kata sandi sederhana tidak cukup untuk mengatasi masalah arsitektur yang lebih dalam pada robot yang terhubung ke jaringan ini.
Dibuat di China, Berkantor Pusat di New York
Yarbo beroperasi secara publik dari Ronkonkoma, New York, tetapi asalnya bisa dilacak ke Hanyang Tech di Shenzhen, China. Dualitas identitas ini telah memicu sorotan di tengah celah keamanan yang memengaruhi perangkat yang dijual secara internasional. Penemuan ini mendorong Makris untuk merilis temuannya, termasuk pengungkapan resmi CVE, sebelum Yarbo sepenuhnya memperbaiki masalah tersebut.
Kritikus mempertanyakan apakah keterikatan geografis memengaruhi persistensi fitur akses produsen pada perangkat keras konsumen. Co-founder Yarbo, Kenneth Kohlmann, mengakui adanya kesalahan dalam sebuah pernyataan yang hanya bisa diakses melalui VPN di luar AS. Perusahaan ini telah menonaktifkan terowongan diagnostik jarak jauh, mereset kata sandi root, dan membatasi titik masuk yang tidak terautentikasi. Mereka juga beralih dari kata sandi yang disebarkan menjadi kredensial spesifik perangkat dan berjanji untuk menerapkan model diagnostik berbasis whitelist dengan audit.
Namun, baik Makris maupun Hollister merasa langkah-langkah ini belum memadai. Perusahaan belum menghapus akses jarak jauh dari produsen sepenuhnya, melainkan hanya menjanjikan pengendalian yang lebih ketat dan pencatatan audit. “Keputusan itu sangat kontroversial karena masih menyimpan akses backdoor internal,” kata Hollister dalam penilaian langkah-langkah yang diambil sejauh ini.
Keputusan ini menimbulkan kekhawatiran lebih luas mengenai perangkat pintar yang memiliki akses backdoor permanen, sementara produsen enggan menutup titik akses tersembunyi.
