독일의 한 해커는 자신이 로봇 잔디 깎는 기계를 완벽하게 제어하고 있다는 사실을 알고 깜짝 놀랐습니다. 무게가 200파운드가 넘고 탐색용 카메라, 인터넷 연결용 Wi-Fi 및 4G, 인체를 분쇄할 수 있는 블레이드를 갖춘 Yarbo 잔디 깍는 기계는 해커가 남용할 수 있는 엄청난 파괴적 잠재력을 가지고 있습니다. 그럼에도 불구하고 Andreas Makris는 약간의 노력으로 전 세계의 모든 활성 Yarbo 로봇을 완벽하게 제어할 수 있었습니다.
다행히 마크리스는 새로 발견한 킬러 로봇 군대로 세계를 지배할 계획이 없었습니다. 그는 기술의 취약점을 조사하는 데 하루를 보내는 보안 연구원이며 심지어 Yarbo의 5,000달러짜리 야드 관리 로봇 전체에 접근하는 것이 얼마나 쉬운지 보고 충격을 받았습니다. 알고 보니 각 Yarbo 로봇은 루트 액세스에 대해 동일한 비밀번호를 가지고 있습니다. 즉, Yarbo 로봇 중 하나를 해킹할 수 있게 되면 전체 로봇을 해킹할 수 있고 거기에서 전 세계 잔디깎이 기계의 고객 데이터(비디오 포함)에 액세스할 수 있습니다. 처음에 그는 이 정도 규모의 취약점이 발견되었을 때 사이버 보안 연구원을 위한 프로토콜과 마찬가지로 Yarbo에 연락했습니다. 그러나 Yarbo는 그에게 감사를 표하는 대신 상황을 경시하고 Makris에게 결함은 “기계적 또는 소프트웨어 문제에 대한 시의적절하고 정확한 솔루션을 제공하기 위한 의도적인 설계 결정”이라고 말했습니다. 그래서 Makris는 The Verge의 기자에게 알리는 과감한 조치를 취했고, The Verge는 그와 협력하여 취약점을 확인하고 홍보했습니다.
Yarbo 잔디 깍는 기계를 제어함으로써 Makris는 로봇을 봇넷에 참여시켜 소유자의 네트워크를 통해 불법 활동을 수행할 수 있습니다. 그는 소유자의 GPS 좌표, 이메일, 심지어 Wi-Fi 비밀번호까지 찾을 수 있습니다. 그리고 그것은 단지 표면적인 긁힘일 뿐입니다. 스마트 잔디 깎이 기계를 사용할 때 저지를 수 있는 가장 큰 실수는 Yarbo에서 제품을 구매하는 것일 수 있습니다.
Yarbo 잔디 깍는 기계 로봇은 원격으로 쉽게 제어할 수 있습니다.
Makris는 GitHub에 게시된 자체 보안 연구에서 각 Yarbo 로봇이 Linux의 전체 인스턴스를 실행하고 있으며 루트 비밀번호가 모든 모델에서 동일하다고 지적합니다. 비밀번호는 업데이트할 때마다 범용 코드로 재설정되므로 거부할 수 없으며 사용자가 영구적으로 비밀번호를 변경할 수도 없습니다. 더욱 이상한 점은 Yarbo의 원격 측정이 TikTok의 중국 소유주인 ByteDance로 라우팅된다는 사실을 발견했습니다. The Verge는 Yarbo가 뉴욕에 본사를 두고 있음에도 불구하고 실제로는 중국 심천에서 사업을 운영하는 것으로 보인다는 사실을 발견했습니다. 이 발견은 스마트 홈이 해킹당했다는 경고 신호를 조심해야 한다는 소름 끼치는 알림입니다.
The Verge는 그가 추적한 Yarbo 소유자 중 일부를 방문하여 Makris의 놀라운 주장을 확인했습니다. Microsoft의 은퇴한 네트워크 설계자 한 사람은 블레이드 봇에 대한 사용자 정의 필터링이 포함된 별도의 게스트 네트워크를 사용하여 자신의 기반을 다뤘다고 생각했지만, 심지어 그조차도 자신의 집 문앞에서 잔디를 관리하는 기계에 이끌려 기자가 있는 것을 보고 약간 당황했습니다. 그러나 Makris는 중요한 발전소에서 그리 멀지 않은 곳에 Yarbo 로봇 3대를 찾을 수 있었는데, 그 중 하나는 핵 보안 분석가의 것으로 보입니다.
Yarbo는 결국 일부 인앱 취약점을 복구하기 위한 조치를 취했지만 가장 심각한 문제는 패치가 적용되지 않은 기기 내 펌웨어와 관련이 있습니다. 이는 네트워크에 연결된 모든 장치가 잠재적인 위협 벡터이며 이러한 장치를 만드는 모든 회사가 사용자의 안전을 염두에 두고 신뢰할 수 있는 것은 아니라는 점을 분명히 상기시켜 줍니다. 스마트 홈을 더욱 안전하게 만드는 방법이 있지만 칼날을 휘두르는 로봇을 홈 네트워크에 연결하기 전에 다시 한 번 생각해 볼 가치가 있습니다.
