11 тысяч газонокосилок по всему миру можно без особых усилий взломать и управлять ими удалённо. Немецкий хакер Андреас Макрис обнаружил, что получить доступ к ним можно через MQTT - протокол обмена сообщениями для умных устройств.
Проблема в том, что у всех роботов компании Yarbo стоял одинаковый root-пароль, а сам протокол не требовал авторизации. То есть получить доступ к системе мог кто угодно. Макрис это и сделал, параллельно составив карту всех машин с их GPS-координатами, получив из памяти пароли wi-fi сетей хозяев и email-адреса их аккаунтов.
Оказалось, компания Yarbo знала про бэкдор. Он был добавлен намеренно, разворачивался автоматически на каждом устройстве и восстанавливался после каждого обновления прошивки. Поэтому Макрис вместе с журналистом The Verge устроили перфоманс - журналист лёг на землю, хакер взял под управление косилку журналиста и направил 100 килограмм металла с лезвиями на него. Так они решили обратить внимание компании на серьёзность проблемы. Компания поначалу ответила, что роботы «полностью под контролем владельца», но после перфоманса сдалась и пообещала всё исправить.