CẢNH GIÁC: Máy cắt cỏ hiệu Yarbo của bạn là một "cửa hậu"(backdoor) tiết lộ ra mật mã Wi-Fi cài đặt của bạn.

trungthuc

Một chuyên gia bảo mật đã phát hiện ra loại robot Yarbo để cắt cỏ đều được cho xuất xưởng cùng một lỗ hỗng cửa hậu" (backdoor), làm lộ mật khẩu Wi-Fi của bạn dưới dạng văn bản thuần túy.

(Minh họa)
Các thiết bị thông minh qua "Internet vạn vật" (IoT), chẳng hạn như camera, chuông cửa, robot hút bụi và các sản phẩm gia dụng được kết nối Wi fi khác, vốn tiềm ẩn những rủi ro bảo mật đã từng được ghi nhận rõ ràng. Tuy nhiên, loại robot cắt cỏ của Yarbo lại nổi lên như một trong những ví dụ nghiêm trọng và đáng báo động nhất trong thời gian gần đây. Mỗi thiết bị được bán ra trên toàn cầu thực chất lại đóng vai trò như một "cửa hậu" (backdoor) dẫn thẳng vào mạng Wi-Fi của chính người đang sở hữu, và dường như người ta cũng chẳng thể làm được gì để khắc phục tình trạng bị rò rỉ này.

Chuyên gia bảo mật Andreas Makris mới đây đã cho công bố các chi tiết về các phương thức khai thác lỗ hổng, cho phép tin tặc chiếm quyền điều khiển hàng ngàn robot cắt cỏ Yarbo được bán ra và đang hoạt động tại hơn 30 quốc gia. Theo ông Makris, tất cả các thiết bị khi xuất xưởng đều đã được cho cài đặt sẵn một "cửa hậu"(backdoor) có khả năng làm lộ ra thông tin cá nhân của người sử dụng, và đáng nói là hiện tại vẫn chưa có phương cách nào để vô hiệu hóa lỗ hổng bảo mật này.

Công ty Yarbo, có nguồn gốc từ Thẩm Quyến, TQ và kết hợp liên doanh với Hoa kỳ chuyên cung cấp các loại robot được kết nối với Internet, có khả năng tương thích với nhiều phụ tùng linh kiện khác nhau để thực hiện các thao tác đa dạng ngoài trời như cắt cỏ, thổi lá, dọn dẹp tuyết và nhiều công việc khác. Giống như nhiều thiết bị IoT khác, các robot này có thể được điều khiển từ xa thông qua ứng dụng di động, đồng thời được trang bị camera để lập ra bản đồ khu vực hoặc khuôn viên nơi chúng đang hoạt động. Việc truy cập và điều khiển từ xa này cũng đòi hỏi dữ kiện phải được truyền tải thông qua hệ thống máy chủ của chính công ty sản xuất được đặt tại Thẩm Quyến, TQ.

Tuy nhiên, chuyên gia Makris đã phát hiện ra rằng mỗi thiết bị đều chứa một "cửa hậu" (backdoor), cho phép các kỹ sư của Yarbo thu thập số liệu đo từ xa và tọa độ GPS từ mọi thiết bị có kết nối mạng đang chạy phiên bản phần cứng mới nhất. Sau khi truy cập được vào hệ thống backend của công ty, các nghiên cứu này đã có thể đọc xem thông tin từ khoảng 11,000 thiết bị, trong đó có xấp xỉ 5,000 thiết bị đang được sử dụng tại Hoa Kỳ.

Tương tự như sự kiện đã xảy ra vào tháng 2 năm nay khi Sammy Azdoufal được cho là đã chiếm quyền điều khiển hơn 10,000 thiết bị IoT của DJI, ông Makris cũng có thể điều khiển từ xa các robot Yarbo và truy cập vào nguồn cấp số liệu camera của chúng chỉ bằng cách sử dụng số serie, mà không cần bất cứ thông tin đăng nhập bổ sung nào khác. Thậm chí, ông còn có thể cho khởi động lại thiết bị ngay cả khi chủ nhân đã bấm chế độ ngắt khẩn cấp, hoặc tiềm ẩn nguy cơ vận hành một chiếc máy cắt cỏ có lưỡi dao theo cách thức nguy hiểm đến con người.

Nhưng sự việc còn có thể sẽ tồi tệ hơn vậy: về nguyên tắc, mỗi robot Yarbo thực chất là một máy tính chạy hệ điều hành Arm Linux, sử dụng chung một mật khẩu nắm toàn quyền root cho tất cả các thiết bị, qua đó trao cho kẻ tấn công toàn quyền kiểm soát hệ điều hành này. Ngay cả khi người tiêu dùng có thay đổi mật khẩu mới hoặc loại bỏ ra "cửa hậu", một bản cập nhật firmware sau đó vẫn sẽ cho khôi phục lại các thông tin đăng nhập mặc định cũng như mọi tập tin còn bị thiếu.

Hệ điều hành này cũng hiển thị ra mật khẩu Wi-Fi của người sử dụng dưới dạng văn bản thuần túy (không có mã hóa), điều này tiềm ẩn nguy cơ biến mỗi robot này thành một bàn đạp tấn công nhằm vào các thiết bị được cho kết nối khác. Những hậu quả đối với các chủ nhân vốn đã đủ đáng lo ngại, nhưng chuyên gia Makris còn phát hiện ra thêm các thiết bị Yarbo đang được cho triển khai tại nhiều công ty kinh doanh, khuôn viên trường đại học và các tòa nhà của chính phủ. Tờ The Verge có đưa tin ra cho rằng, ông này cũng đã xác định được 12 robot nằm trong phạm vi 3 km quanh một nhà máy điện hạt nhân trọng điểm, trong số đó, một thiết bị có thể thuộc quyền sở hữu của một chuyên gia phân tích về an ninh hạt nhân.

Thông thường, một chuyên gia nghiên cứu bảo mật sẽ thông báo riêng cho nơi sản xuất và dành thời gian để họ khắc phục lỗi kỹ thuật trước khi cho công bố rộng rãi các thông tin. Tuy nhiên, những sự hồi âm có phần thiếu nghiêm túc và coi nhẹ vấn đề từ phía Yarbo đã khiến cho ông Makris tin rằng các lỗ hổng này sẽ chỉ được xử lý một cách nghiêm túc nếu ông cho công bố ra những phát hiện của mình ra với công chúng.

Những nỗ lực che giấu nguồn gốc xuất xứ của công ty này cũng là một vấn đề đáng lo ngại khác. Mặc dù Yarbo chính thức đặt trụ sở tại New York, nhưng mã định danh gói ứng dụng Android của họ lại liệt kê ở Hanyangtech, một công ty có trụ sở tại Thâm Quyến, TQ vốn là công ty mẹ. Ngoài ra, số liệu đo từ xa (telemetry) của mỗi thiết bị Yarbo cũng được cho là đang được chuyển tiếp thông qua các máy chủ của ByteDance.

Những sự phát hiện của ông Makris đã làm nổi bật cùng một nhóm các mối lo ngại tương tự như những lý do dẫn đến việc các thiết bị của DJI bị hạn chế sử dụng tại Hoa Kỳ. Tuy nhiên, các robot của Yarbo lại tiềm ẩn một rủi ro có phạm vi rộng lớn hơn, với hàng ngàn thiết bị hiện đang được sử dụng ngay trong lãnh thổ quốc gia này. Sau đó, công ty Yarbo đã trả lời The Verge rằng họ "đang tiến hành điều tra các vấn đề nêu trên và đã cho phát hành các bản vá nhằm khắc phục một số lỗ hổng trong số đó" (?).

trungthuc · 14 Hours Ago

Tham khảo thêm ở đây:

Is Yarbo a Chinese company?
AI Overview
Yarbo, a NYC-based company founded by Allen Huang, has raised ...Yarbo is a hybrid company with strong Chinese roots and a U.S. presence, developed by Shenzhen Hanyang Technology Co., Ltd., based in Shenzhen, China. While they market themselves as a New York-based entity (Yarbo Inc.) for international sales, the core R&D, engineering, and manufacturing occur in China.

Key details regarding Yarbo's origins:
Parent Company: The product is developed by Shenzhen Hanyang Technology, founded in 2015.
Manufacturing: Production and assembly take place in China, specifically at a factory in Huizhou, near Shenzhen.
Corporate Structure: Yarbo Inc. operates as the US-incorporated entity, often cited as being based in New York, which handles international sales and marketing.
Leadership: The company was founded by Allen Huang and features a mix of US and Chinese team members.

While it operates as a global brand, it is rooted in Chinese technological development and manufacturing.

sihao · 14 Hours Ago

thanks

iPad Videos Portal Autoscroll	VietBF Music Portal Autoscroll	iPad News Portal Autoscroll
VietBF Homepage Autoscroll	VietBF Video Autoscroll Portal	USA News Autoscroll Portall
VietBF WORLD Autoscroll Portal	Video Classic Master Page	Super Widescreen
iPad World Portal Autoscroll	iPad USA Portal Autoscroll	Phim Bộ Online

Tin nóng nhất 24h qua	Tin nóng nhất 3 ngày qua	Tin nóng nhất 7 ngày qua
Tin nóng nhất 30 ngày qua	Albums	Total Videos Online

Tranh luận sôi nổi nhất 7 ngày qua	Tranh luận sôi nổi nhất 14 ngày qua	Tranh luận sôi nổi nhất 30 ngày qua
10.000 Tin mới nhất	Tin tức Hoa Kỳ	Tin tức Công nghệ

Duo Series Movies Portal	Duo Music Portal	Phim Bộ
Tỷ Giá	Thời Tiết	Tin Nóng Nhất 50h

Super News	School Cooking Traveling Portal	Enter Portal
Series Shows and Movies Online	Home Classic Master Page	Donation Ủng hộ $3 cho VietBF

HOME	Breaking News	VN News	VietOversea	World News	Business News	Other News	History
Car News	Computer News	Game News	USA News	Mobile News	Music News	Movies News	Sport News
DEM	GOP	Phim Bộ	Phim Lẻ	Ca Nhạc	Thơ Ca	Help Me	Sport Live
Stranger Stories	Comedy Stories	Cooking Chat	Nice Pictures	Fashion	School	Travelling	Funny Videos
NEWS 24h	HOT 3 Days	NEWS 3 Days	HOT 7 Days	NEWS 7 Days	HOT 30 Days	NEWS 30 Days	Member News
Back 5 days	Back 10 days	Back 20 days	Back 30 days	Phim On	Clips	Playlist	News Book