CISA upozorava na hard-coded vjerodajnice u Yarbo aplikaciji za Android i iOS

Američka agencija CISA objavila je upozorenje za Yarbo Android/iOS mobilnu aplikaciju i cloud infrastrukturu nakon što je utvrdila da aplikacije sadrže hard-coded MQTT broker vjerodajnice koje su iste za sve korisnike i sve uređaje. Prema upozorenju, uspješna eksploatacija tih ranjivosti mogla bi napadaču omogućiti pristup hard-coded vjerodajnicama, uvid u telemetrijske podatke i potencijalno slanje operativnih naredbi robotskoj floti.

CISA navodi da su vjerodajnice ugrađene u binarnu datoteku aplikacije i da se mogu relativno lako izdvojiti dekompilacijom APK-a. Te vjerodajnice daju pristup cloud MQTT brokerima koji nose telemetriju u stvarnom vremenu za cijelu globalnu Yarbo robotsku flotu. Upozorenje dodaje da je moguć wildcard pristup svim temama telemetrije robota te slanje poruka na komandnu temu bilo kojeg robota, uz korištenje samo serijskog broja robota.

U istom upozorenju CISA ističe i da Yarbo cloud ne provodi autorizaciju po uređaju ili po korisniku. To znači da svaki klijent s valjanim vjerodajnicama, bilo da su riječ o zajedničkim hard-coded vjerodajnicama ili legitimnim vjerodajnicama po korisniku, može se pretplatiti na wildcard teme koje pokrivaju sve robote globalno i slati naredbe bilo kojem robotu koristeći njegov serijski broj, koji se otkriva u telemetrijskom toku. CISA dodaje da bi i nakon uklanjanja hard-coded vjerodajnica iz aplikacije jedna kompromitirana vjerodajnica i dalje mogla omogućiti fleet-wide pristup bez kontrola pristupa po uređaju.

Kao mjeru ublažavanja Yarbo preporučuje korisnicima ažuriranje mobilne aplikacije na verziju 3.17.4 ili noviju. CISA navodi i da će server-side broker autorizacija biti automatski uvedena nakon objave svibanjskog ažuriranja 2026. godine te da korisnici ne moraju poduzimati nikakvu radnju. Agencija pritom preporučuje i opće obrambene mjere: smanjenje mrežne izloženosti svih uređaja i sustava industrijske kontrole, smještanje mreža iza vatrozida te korištenje sigurnijih metoda za udaljeni pristup, poput VPN-a, uz napomenu da i VPN može imati ranjivosti i da ga treba ažurirati na najnoviju dostupnu verziju.

CISA također podsjeća organizacije da prije uvođenja obrambenih mjera provedu odgovarajuću analizu utjecaja i procjenu rizika. Na stranici agencije za sigurnost industrijskih sustava dostupne su i preporučene prakse te publikacije o kibernetičkoj obrani, uključujući smjernice za obranu industrijskih kontrolnih sustava strategijama dubinske obrane.