Yarbo cam kết gỡ bỏ 'cổng sau' bảo mật khỏi robot cắt cỏ sau vụ lỗ hổng nghiêm trọng

Công ty đứng sau chiếc robot cắt cỏ từng gây tai nạn cho phóng viên đã thay đổi quan điểm. Yarbo hiện có kế hoạch loại bỏ hoàn toàn quyền truy cập "cổng sau" (backdoor) từ xa, thứ có thể cho phép kẻ xấu lập trình lại robot qua internet. Đồng sáng lập Kenneth Kohlmann cam kết với The Verge rằng khách hàng của Yarbo sẽ có quyền quyết định liệu tính năng này có được cài đặt hay không.

Robot cắt cỏ Yarbo M1

Trước đó, Yarbo đã hứa hẹn vào thứ Sáu rằng họ sẽ giải quyết quyết liệt nhiều vấn đề bảo mật, bao gồm việc bịt lỗ hổng cho phép nhà nghiên cứu bảo mật Andreas Makris dễ dàng chiếm quyền điều khiển bất kỳ chiếc robot cắt cỏ nào từ phía bên kia globe, đồng thời làm lộ địa chỉ email và vị trí GPS. Tuy nhiên, đối với lỗ hổng đáng lo ngại nhất, Yarbo khi đó vẫn giữ quan điểm phòng thủ. Công ty cho biết họ sẽ giữ cổng sau mở để "nhân viên nội bộ được ủy quyền" có thể hỗ trợ khắc phục sự cố từ xa — nhưng lúc đó sẽ có thêm các lớp bảo vệ xung quanh.

Liệu khách hàng của Yarbo có nên được quyền quyết định liệu robot của họ có nên có một cổng sau tồn tại vĩnh viễn hay không? Khi chúng tôi hỏi vào tuần trước, công ty ban đầu ngụ ý câu trả lời là không. "Việc loại bỏ hoàn toàn khả năng chẩn đoán từ xa sẽ làm giảm năng lực của chúng tôi trong việc giúp khách hàng giải quyết nhanh các vấn đề về an toàn, kết nối và dịch vụ, đặc biệt trong những trường hợp mà việc kiểm tra thực tế là không khả thi," người phát ngôn Showan Hou và Maggie Zhou cho biết vào thứ Bảy. Công ty gợi ý rằng họ vẫn đang cân nhắc các giải pháp và có thể cho phép người dùng từ chối (opt-out).

Tuy nhiên, đến thứ Hai, khi Kohlmann gọi cho tôi từ sân bay, công ty đã quyết định đi một bước xa hơn. Yarbo sẽ biến tính năng này thành tùy chọn "chấp nhận tham gia" (opt-in), nghĩa là bạn chỉ có thể cài đặt nó nếu và chỉ nếu bạn muốn được hỗ trợ từ xa. "Trong tương lai sẽ không có cổng sau từ xa nào trừ khi người dùng quyết định opt-in," ông nói với The Verge.

Kohlmann cảnh báo rằng sẽ mất một chút thời gian để loại bỏ đường hầm này, và các tệp cần thiết để cài đặt phiên bản mới về mặt kỹ thuật vẫn có thể được lưu trên bộ nhớ nội bộ của mỗi robot. "Rất có thể đó sẽ là một tập lệnh cài đặt nằm trên máy và không làm gì cả trừ khi người dùng kích hoạt nó," ông giải thích. "Nếu người dùng kích hoạt nó, nó sẽ cài đặt một đường hầm tạm thời dùng một lần."

Ông gợi ý rằng trước khi đi xa đến mức đó, bạn có thể thử tải tệp nhật ký lên bộ phận hỗ trợ kỹ thuật của Yarbo. Nếu việc đó vẫn chưa đủ để chẩn đoán vấn đề, bạn cũng có thể chọn cài đặt tính năng truy cập từ xa.

Có thể sẽ khó biết chắc chắn liệu Yarbo có giữ lời hứa loại bỏ đường hầm truy cập từ xa theo mặc định hay không, bởi họ đang khóa chặt các robot của mình (như họ lẽ ra phải làm!) sau câu chuyện của chúng tôi. Kohlmann nói rằng mọi thiết bị sớm sẽ có một mật khẩu root duy nhất, mật khẩu mà Yarbo sẽ không cung cấp cho người dùng cuối; các bản cập nhật phần mềm (firmware) đã được phát hành cho 1.000 máy đầu tiên và đang đến lượt các đợt robot tiếp theo.

Tuy nhiên, Kohlmann cho biết công ty hiện đang liên hệ với Makris, và rất possible là nhà nghiên cứu bảo mật này sẽ có thể xác thực các thay đổi.