被发现存在漏洞,Yarbo 承诺将从其割草机器人中移除远程访问后门
阅读原文· ithome.com安全研究员发现Yarbo割草机器人存在漏洞,可被远程劫持并获取用户敏感信息。公司最初计划保留用于远程诊断的“后门”,但在舆论压力下改变决定。联合创始人宣布,未来新设备将默认完全移除该远程访问功能,转为由用户主动选择安装。新固件更新已开始推送,每台设备将获得唯一root密码。公司表示,移除工作需要时间,相关安装文件可能仍会预置在设备中,但处于非活动状态,仅当用户需要协助时才会触发。
IT之家 5 月 12 日消息,在安全研究人员曝光漏洞后,割草机器人公司 Yarbo 联合创始人 Kenneth Kohlmann 向 The Verge 回应称,Yarbo 计划完全移除此前存在于其割草机中的远程后门访问功能,用户将能够自行决定是否安装这一功能。
此前,安全研究员 Andreas Makris 发现,Yarbo 的机器人割草机存在多个安全漏洞,攻击者可远程劫持任意一台设备,同时还能获取用户的电子邮件地址和 GPS 位置信息。
Yarbo 上周五曾承诺解决大部分安全问题,但当时表示仍会保留一个远程后门,以便“公司内部授权人员”能够远程帮助用户排查故障,只是会增加更多保护措施。
当被问及是否应该让用户自己决定机器上是否保留远程后门时,Yarbo 发言人回应称:“完全移除远程诊断能力会降低我们快速帮助用户解决安全、连接和服务问题的能力,尤其是在无法进行物理检查的情况下。”
然而到了本周一,Kohlmann 在接受 The Verge 采访时宣布公司已决定更进一步。他表示,这一功能将变为由用户主动选择安装,仅当用户需要远程帮助时才可使用。“未来默认不应存在远程后门,除非用户决定主动选择开启。”
Kohlmann 同时警告,移除该接口需要一定时间,新版本所需的安装文件在技术上可能仍会存在于每台机器内部存储中。“大概率会是一段安装脚本,存放在机器上但不会执行任何操作,除非用户触发它。如果用户触发,它会安装一个临时的单程通道。”他建议用户通常应优先尝试将日志文件上传给 Yarbo 技术支持,如果仍不足以诊断问题,再选择安装远程访问功能。
由于 Yarbo 已按照安全研究人员的建议开始锁定设备,外界可能难以验证该公司是否兑现了默认移除远程访问通道的承诺。