Robôs Cortadores de Grama Vulneráveis: Pesquisador Descobre Backdoor e Múltiplas Falhas Críticas
Um pesquisador de segurança revelou falhas críticas em robôs cortadores de grama da Yarbo, permitindo acesso remoto total aos dispositivos. As vulnerabilidades incluem um backdoor, senhas padrão, e a capacidade de controlar os robôs, acessar dados dos usuários e até mesmo desativar o botão de parada de emergência.
MundiX News·14 de maio de 2026·3 min de leitura·👁 3 views
O pesquisador de segurança Andreas Makris descobriu problemas críticos nos robôs da Yarbo, incluindo cortadores de grama modulares, limpadores de neve e aparadores controlados remotamente. As falhas encontradas permitem que invasores assumam o controle dos dispositivos remotamente, desativem a parada de emergência e obtenham acesso aos dados dos proprietários.
De acordo com Makris, se um invasor obtiver acesso a um único Yarbo, ele efetivamente ganha acesso a todo o ecossistema. O pesquisador relatou ao The Verge que conseguiu acessar as câmeras dos robôs e o fluxo de vídeo em tempo real, controlar os dispositivos remotamente e extrair dados confidenciais dos usuários, incluindo coordenadas GPS de suas casas, endereços de e-mail e senhas de Wi-Fi. A Yarbo produz robôs que custam cerca de US$ 5.000. A empresa vende uma plataforma modular com um "núcleo" rastreado ao qual são conectados acessórios para cortar grama, limpar neve e outras tarefas. Makris estima que mais de 11.000 dispositivos em todo o mundo são afetados pelas vulnerabilidades encontradas, incluindo aproximadamente 5.400 robôs nos EUA e na Europa.
O pesquisador explica que o problema afeta o sistema Linux embutido nos robôs. Por exemplo, todos os dispositivos usam a mesma senha root, e mesmo que você a altere manualmente, ela pode ser redefinida automaticamente para os valores padrão ao atualizar o firmware. Além disso, um mecanismo de acesso remoto embutido foi descoberto no sistema, que não pode ser desativado através das configurações. Makris afirma que, através desse backdoor, é possível não apenas controlar o movimento dos robôs, mas também reprogramar os dispositivos: ativar as lâminas, usar o dispositivo como parte de uma botnet ou atacar a rede doméstica do proprietário. Segundo o especialista, mesmo pressionar o botão físico de parada de emergência não garante segurança - um operador remoto pode desbloquear o cortador de grama novamente. Jornalistas verificaram algumas das declarações do pesquisador na prática. Em particular, eles visitaram vários proprietários da Yarbo e confirmaram que os dados obtidos através das vulnerabilidades realmente correspondiam aos endereços reais, redes Wi-Fi e contas desses usuários. Durante uma demonstração, o pesquisador controlou remotamente o cortador de grama Yarbo de outra pessoa e o direcionou para um jornalista do The Verge que estava deitado em frente ao dispositivo. Assim, o especialista demonstrou que as vulnerabilidades permitem assumir o controle total dos robôs e contornar a proteção, bloqueando até mesmo a parada de emergência.
Um dos proprietários dos dispositivos, Matt Petach, ex-arquiteto de rede da Yahoo e Microsoft, comparou a situação a uma "motosserra sem freios e proteção". Segundo ele, os usuários frequentemente percebem esses gadgets como "assistentes amigáveis", embora na verdade sejam computadores completos com acesso a toda a infraestrutura doméstica. Makris publicou a pesquisa junto com os identificadores CVE das vulnerabilidades (CVE-2026-7413, CVE-2026-7414 e CVE-2026-7415), sem esperar a correção completa dos problemas descobertos. Ele explicou isso pelo fato de que os representantes da Yarbo supostamente não levaram a ameaça a sério e por muito tempo chamaram o acesso remoto aos dispositivos de "função de diagnóstico". Após a publicação da pesquisa em acesso aberto, os representantes da Yarbo declararam que já prepararam correções para alguns dos problemas e estão trabalhando em mecanismos de proteção adicionais. A empresa prometeu melhorar o controle das sessões remotas, adicionar logs de ações e criar um Security Response Center separado para receber relatórios de vulnerabilidades. Ao mesmo tempo, o pesquisador enfatiza que a Yarbo é apenas um exemplo do crescente problema de dispositivos IoT inseguros. Segundo ele, muitos gadgets "inteligentes" modernos recebem amplas capacidades de rede e, ao mesmo tempo, são quase completamente desprotegidos contra a captura remota.
O pesquisador de segurança Andreas Makris descobriu problemas críticos nos robôs da Yarbo, incluindo cortadores de grama modulares, limpadores de neve e aparadores controlados remotamente. As falhas encontradas permitem que invasores assumam o controle dos dispositivos remotamente, desativem a parada de emergência e obtenham acesso aos dados dos proprietários.
De acordo com Makris, se um invasor obtiver acesso a um único Yarbo, ele efetivamente ganha acesso a todo o ecossistema. O pesquisador relatou ao The Verge que conseguiu acessar as câmeras dos robôs e o fluxo de vídeo em tempo real, controlar os dispositivos remotamente e extrair dados confidenciais dos usuários, incluindo coordenadas GPS de suas casas, endereços de e-mail e senhas de Wi-Fi. A Yarbo produz robôs que custam cerca de US$ 5.000. A empresa vende uma plataforma modular com um "núcleo" rastreado ao qual são conectados acessórios para cortar grama, limpar neve e outras tarefas. Makris estima que mais de 11.000 dispositivos em todo o mundo são afetados pelas vulnerabilidades encontradas, incluindo aproximadamente 5.400 robôs nos EUA e na Europa.
O pesquisador explica que o problema afeta o sistema Linux embutido nos robôs. Por exemplo, todos os dispositivos usam a mesma senha root, e mesmo que você a altere manualmente, ela pode ser redefinida automaticamente para os valores padrão ao atualizar o firmware. Além disso, um mecanismo de acesso remoto embutido foi descoberto no sistema, que não pode ser desativado através das configurações. Makris afirma que, através desse backdoor, é possível não apenas controlar o movimento dos robôs, mas também reprogramar os dispositivos: ativar as lâminas, usar o dispositivo como parte de uma botnet ou atacar a rede doméstica do proprietário. Segundo o especialista, mesmo pressionar o botão físico de parada de emergência não garante segurança - um operador remoto pode desbloquear o cortador de grama novamente. Jornalistas verificaram algumas das declarações do pesquisador na prática. Em particular, eles visitaram vários proprietários da Yarbo e confirmaram que os dados obtidos através das vulnerabilidades realmente correspondiam aos endereços reais, redes Wi-Fi e contas desses usuários. Durante uma demonstração, o pesquisador controlou remotamente o cortador de grama Yarbo de outra pessoa e o direcionou para um jornalista do The Verge que estava deitado em frente ao dispositivo. Assim, o especialista demonstrou que as vulnerabilidades permitem assumir o controle total dos robôs e contornar a proteção, bloqueando até mesmo a parada de emergência.
Um dos proprietários dos dispositivos, Matt Petach, ex-arquiteto de rede da Yahoo e Microsoft, comparou a situação a uma "motosserra sem freios e proteção". Segundo ele, os usuários frequentemente percebem esses gadgets como "assistentes amigáveis", embora na verdade sejam computadores completos com acesso a toda a infraestrutura doméstica. Makris publicou a pesquisa junto com os identificadores CVE das vulnerabilidades (CVE-2026-7413, CVE-2026-7414 e CVE-2026-7415), sem esperar a correção completa dos problemas descobertos. Ele explicou isso pelo fato de que os representantes da Yarbo supostamente não levaram a ameaça a sério e por muito tempo chamaram o acesso remoto aos dispositivos de "função de diagnóstico". Após a publicação da pesquisa em acesso aberto, os representantes da Yarbo declararam que já prepararam correções para alguns dos problemas e estão trabalhando em mecanismos de proteção adicionais. A empresa prometeu melhorar o controle das sessões remotas, adicionar logs de ações e criar um Security Response Center separado para receber relatórios de vulnerabilidades. Ao mesmo tempo, o pesquisador enfatiza que a Yarbo é apenas um exemplo do crescente problema de dispositivos IoT inseguros. Segundo ele, muitos gadgets "inteligentes" modernos recebem amplas capacidades de rede e, ao mesmo tempo, são quase completamente desprotegidos contra a captura remota.
