Hacker assume controle de cortador de grama robótico e expõe falhas graves de segurança

Pesquisador de segurança hackeia cortador de grama robótico e expõe vulnerabilidades alarmantes

O que acontece quando um robô autônomo, equipado com lâminas afiadas e conectado à internet, é hackeado? Segundo o repórter Sean Hollister, da The Verge, a resposta pode ser assustadora. Em um experimento controlado, o pesquisador de segurança Andreas Makris, baseado na Alemanha, demonstrou como é possível assumir o controle de cortadores de grama robóticos da marca Yarbo — e, potencialmente, causar danos graves.

Makris, conhecido como "white hat hacker" (especialista em segurança que atua de forma ética), revelou que conseguiu acessar remotamente os dispositivos sem qualquer autorização do usuário. Em um teste dramático, ele simulou um ataque em que o robô se movia em direção ao corpo de Hollister, que estava deitado no chão. "Se Andreas não interrompesse o robô a tempo, suas lâminas poderiam arrastar-se pelo meu corpo", escreveu Hollister em sua reportagem.

Falhas de segurança permitem controle total dos robôs

As vulnerabilidades descobertas por Makris são preocupantes:

• Acesso remoto não autorizado: O pesquisador conseguiu controlar os cortadores de grama como se fossem seus próprios dispositivos, mesmo a milhares de quilômetros de distância.
• Senha padrão compartilhada: Todos os robôs Yarbo utilizavam a mesma senha raiz, o que significa que um único hacker poderia assumir o controle de milhares de máquinas ao redor do mundo.
• Backdoor intencional: Makris descobriu que a Yarbo implantou uma porta dos fundos no sistema, permitindo acesso remoto automático e impossível de ser desativado pelo proprietário. Mesmo após a reinstalação de senhas, o sistema restaura a configuração padrão.
• Coleta de dados sensíveis: Além do controle físico, o hacker conseguiu extrair informações pessoais dos usuários, como endereços de e-mail, senhas de Wi-Fi e até coordenadas GPS de suas residências.

Em um mapa publicado por Makris, foram identificados mais de 11 mil cortadores de grama Yarbo espalhados pelo mundo, formando uma rede potencialmente vulnerável a ataques em massa.

Riscos reais e consequências possíveis

As implicações dessas falhas vão muito além de uma brincadeira perigosa. Um invasor mal-intencionado poderia:

• Usar os robôs para sabotar propriedades, como danificar jardins ou criar padrões estranhos no gramado para gerar pânico (como teorias de círculos em plantações).
• Espionar os proprietários, monitorando suas atividades ou até mesmo acessando câmeras conectadas ao mesmo sistema.
• Causar danos físicos, como no experimento de Hollister, ou até mesmo roubar os dispositivos.
• Criar uma rede de robôs zumbis, controlando milhares de máquinas simultaneamente para ataques coordenados.

Apesar dos alertas enviados por Makris à Yarbo, a empresa manteve sua posição: "Seu Yarbo permanece completamente seguro e sob seu controle exclusivo". Essa resposta, segundo Hollister, foi o que o levou a participar do experimento arriscado, deitando-se sob o robô para demonstrar os perigos reais.

"À medida que cem quilos de metal, plástico e um computador excessivamente vulnerável me prendem ao chão — e, graças a Deus, Andreas recua — percebo que este experimento não era tão seguro quanto parecia."

O que os usuários devem fazer?

Diante dessas revelações, especialistas em segurança recomendam:

• Desconectar dispositivos IoT da internet quando não forem essenciais, reduzindo a superfície de ataque.
• Verificar atualizações de firmware e entrar em contato com o fabricante para confirmar se há correções para as vulnerabilidades.
• Monitorar atividades suspeitas em redes domésticas e dispositivos conectados.
• Considerar alternativas para cortadores de grama autônomos até que os fabricantes resolvam as falhas de segurança.

O caso da Yarbo serve como um alerta para a indústria de dispositivos conectados: a conveniência da automação não deve vir às custas da segurança. Enquanto empresas continuam a lançar produtos IoT cada vez mais avançados, a proteção dos dados e a integridade física dos usuários devem ser prioridades absolutas.