Kdo je Yarbo a co vlastně prodává
Yarbo je firma prodávající prémiové robotické sekačky za zhruba 150 000 korun (5 000 dolarů) za kus. Zařízení fungují autonomně, navigují se pomocí kamer, GPS a AI mapování a připojují se k internetu. Bez obsluhy zvládají sekat trávu, odklízet sníh nebo foukat listí. Prodávají se ve více než 30 zemích.
Firma se prezentuje jako newyorský technologický startup s moderními kancelářemi. Realita je trochu jiná: skutečná adresa v New Yorku je přízemní budova, kterou sdílí několik firem. Za fasádou se skrývá čínská společnost Hanyang Tech se sídlem v Šen-čenu.
Zdroj: X, Byron Wan
Jak výzkumník získal kontrolu nad celou flotilou?
Andreas Makris se na sekačku Yarbo zaměřil jako bezpečnostní výzkumník a rychle narazil na zásadní problém: každý robot na světě má stejné výchozí root heslo. Kdo zná heslo jednoho, má přístup ke všem.
Yarbo totiž funguje jako plnohodnotný linuxový počítač s trvalým vzdáleným přístupem výrobce. To nejsou zadní vrátka, ale přímo vrata. Přístup funguje automaticky, majitel ho nemůže vypnout a po každé aktualizaci firmwaru se obnoví, i kdyby ho někdo ručně odstranil.
Makris sestavil živou mapu více než 11 000 zařízení rozmístěných po USA a Evropě. S přístupem k robotům získal také:
- e-mailové adresy majitelů
- hesla k domácím Wi-Fi sítím
- přesné GPS souřadnice domů
- živý přenos z kamer sekačky
🚨 The $5,000 robot lawnmowers from 🇨🇳 𝗬𝗮𝗿𝗯𝗼 have such ridiculous security vulnerabilities that a foreign hacker can easily hijack a bladed gadget in the US. And not just one. Thousands upon thousands of bladed Chinese robots at his beck and call. Every Yarbo robot around… pic.twitter.com/nTbWYVLchv
— Byron Wan (@Byron_Wan) May 11, 2026
Robot jako zbraň: 90 kilogramů nekontrolovaného železa
Bezpečnostní problém nekončí u úniku dat. Sekačky váží přes 90 kilogramů, pohybují se na pásovém podvozku a jsou vybaveny ostrými čepelemi. Makris prokázal, že vzdáleně dokáže čepele spustit a obejít bezpečnostní pojistky, včetně nouzového tlačítka zastavení, které majitel fyzicky zmáčkne přímo na stroji.
Reportér serveru The Verge Sean Hollister to ověřil doslova na vlastní kůži: lehl si před jedoucí sekačku řízenou Makrisem z Německa. Stroj ho přejel. Čepele naštěstí nebyly aktivní, ale experiment potvrdil, že vzdálená kontrola funguje bez jakýchkoliv omezení. Dalším rozměrem jsou národní bezpečnostní rizika. Makris identifikoval 12 robotů Yarbo do tří kilometrů od velkého energetického závodu. Jeden z nich byl registrován na osobu pracující v oblasti jaderné bezpečnosti.
Mohlo by vás zajímat
Firma o problému věděla a nic neudělala
Makris se nejprve pokusil kontaktovat Yarbo standardní cestou. Firma neměla žádný bezpečnostní kontakt ani program pro hlášení zranitelností. Zákaznická podpora mu sdělila, že vzdálený přístup je bezpečná a užitečná funkce sloužící k diagnostice.
Protože firma nereagovala odpovědně, Makris zveřejnil výzkum včetně oficiálních CVE zranitelností bez čekání na záplatu — postup, který bezpečnostní komunita jinak považuje za krajní řešení. Firma Yarbo přitom dříve veřejně prohlašovala, že „váš Yarbo zůstává zcela bezpečný a pod vaší výhradní kontrolou.“
Důvěryhodnost firmy neposiluje ani její přístup k médiím: The Verge uvádí, že Yarbo opakovaně žádalo záruky, že recenze nebude negativní, a jednou dokonce požadovalo podpis smlouvy zakazující negativní vyjadřování.
Mohlo by vás zajímat
Co firma slíbila opravit (a co ne)
Po zveřejnění vydal spoluzakladatel Yarbo prohlášení, ve kterém technické nálezy potvrdil a omluvil se. Firma přistoupila k těmto opatřením:
- dočasně vypnula vzdálené diagnostické tunely
- resetovala root hesla
- omezila nechráněné přístupové body
- zahájila přechod na unikátní přihlašovací údaje pro každé zařízení
- slíbila zavedení auditovatelného systému vzdáleného přístupu
Hlavní problém ale zůstává: firma Yarbo backdoor neodstranila. Slibuje pouze přísnější kontroly a protokolování. Vzdálený přístup výrobce do každého robota zůstává zachován. Jen s příslibem, že bude lépe hlídán. To samozřejmě připomíná situaci před odhalením, kdy firma také tvrdila, že přístup mají jen autorizovaní zaměstnanci.
Yarbo není výjimka, jen viditelný příklad
Případ Yarbo je extrémní, ale v zásadě ilustruje běžnou praxi světa chytrých zařízení: bezpečnost jako druhořadý zájem, pohodlí a rychlé uvedení na trh jako priorita. Stejná hesla, skryté backdoory a nemožnost zařízení skutečně ovládnout — to jsou problémy, které se týkají obrovského množství IoT produktů.
Případ sekaček Yarbo ukazuje, kam celý průmysl směřuje. Chytrá zařízení už nejsou jen pasivní senzory. Mají motory, čepele, kamery a GPS. Když selže softwarová bezpečnost, může být výsledkem fyzické nebezpečí v reálném světě. To je kategorie problémů, na kterou regulátoři ani výrobci zatím nejsou připraveni.
Zdroj: The Verge, Cybernews, X, Gadgetreview, slashgear
video
5 foto
