Το γράφω ευθέως επειδή τα ζητήματα που τέθηκαν στην τελευταία έκθεση ασφαλείας αξίζουν άμεση απάντηση, όχι θεσμική.
Στις 7 Μαΐου 2026, ο ερευνητής ασφάλειας Ανδρέας Μακρής δημοσίευσε μια λεπτομερή αναφορά που εντοπίζει κρίσιμα τρωτά σημεία στα συστήματα απομακρυσμένης διάγνωσης, διαχείρισης διαπιστευτηρίων και επεξεργασίας δεδομένων της Yarbo. Τα βασικά τεχνικά αποτελέσματα είναι ακριβή. Θα ήθελα να ευχαριστήσω τον κ. Ανδρέα Μακρή για το έργο του στον εντοπισμό αυτών των θεμάτων και για την επιμονή του να τα φέρει υπόψη μας. Αναγνώρισε επίσης ότι η αρχική μας απάντηση δεν αντικατοπτρίζει επαρκώς τη σοβαρότητα των ζητημάτων που εντόπισε. Ως συνιδρυτής, είμαι υπεύθυνος για το τι αποστέλλεται στα προϊόντα μας και είμαι υπεύθυνος για την ανταπόκριση.
Οι ομάδες μηχανικής, προϊόντων, νομικών και υποστήριξης πελατών μας αντιμετωπίζουν την αποκατάσταση ως κορυφαία προτεραιότητα. Αυτό που ακολουθεί είναι ο απολογισμός μου για το τι βρήκαμε, τι έχουμε ήδη διορθώσει, τι διορθώνουμε ενεργά και τι δεσμευόμαστε να αλλάξουμε στον τρόπο με τον οποίο εργαζόμαστε προχωρώντας.
Με βάση την αρχική μας ανασκόπηση, τα ζητήματα σχετίζονται κυρίως με επιλογές ιστορικού σχεδιασμού σε τμήματα των συστημάτων απομακρυσμένων διαγνωστικών, διαχείρισης πρόσβασης και επεξεργασίας δεδομένων της Yarbo.
Συγκεκριμένα, ορισμένες δυνατότητες υποστήριξης και συντήρησης παλαιού τύπου δεν παρείχαν στους χρήστες επαρκή ορατότητα ή έλεγχο και ορισμένοι μηχανισμοί ελέγχου ταυτότητας και διαχείρισης διαπιστευτηρίων δεν πληρούσαν τα πρότυπα ασφαλείας που αναμένουμε για τα σημερινά προϊόντα.
Εντοπίσαμε επίσης περιοχές όπου τα δικαιώματα πρόσβασης, οι διαμορφώσεις συστημάτων υποστήριξης και οι ροές δεδομένων μεταξύ συσκευών και υπηρεσιών cloud απαιτούν ισχυρότερη προστασία και αυστηρότερους ελέγχους.
Αναγνωρίζουμε τη σοβαρότητα αυτών των ζητημάτων και τις ανησυχίες που μπορεί να προκαλέσουν στους πελάτες και την κοινότητά μας. Ζητούμε ειλικρινά συγγνώμη για τον αντίκτυπο που είχε αυτή η κατάσταση και δεσμευόμαστε να αντιμετωπίσουμε αυτά τα ζητήματα με διαφανή και υπεύθυνο τρόπο.
Ενισχύουμε την ασφάλεια του συστήματος μειώνοντας τις παλαιού τύπου διαδρομές πρόσβασης, αυστηροποιώντας τα δικαιώματα και κινούμαστε προς διαπιστευτήρια με πλήρη έλεγχο σε επίπεδο συσκευής. Για να δείξουμε την πρόοδο που έχουμε σημειώσει στη διαδικασία μεταρρυθμίσεων, διαχωρίζουμε τις δράσεις που έχουν ήδη αναληφθεί από τις εργασίες που βρίσκονται σε εξέλιξη.
Αυτό που έχουμε ήδη κάνει
Αυτό που δουλεύουμε τώρα
Οι ιστορικοί διακομιστές και τα κανάλια πρόσβασης παλαιού τύπου θα συνεχίσουν να καταργούνται ένα προς ένα ως μέρος αυτής της αναθεώρησης.
Εργαζόμαστε επίσης για την επιτάχυνση των over-the-air ενημερώσεων ασφαλείας και την πρόσθετη προστασία από την πλευρά του διακομιστή. Το πρώτο κύμα ενημερώσεων αναμένεται να ξεκινήσει εντός μιας εβδομάδας. σπουδαίος: Η ενημέρωση υλικολογισμικού ασφαλείας προωθείται τώρα σε όλες τις συσκευές Yarbo. Για να λάβετε αυτήν την ενημέρωση, συνδέστε το Yarbo σας στο Διαδίκτυο. Μόλις εφαρμοστεί η ενημέρωση, μπορείτε να επιστρέψετε στις προτιμώμενες ρυθμίσεις δικτύου σας. Εάν προτιμάτε να διατηρείτε τη συσκευή σας εκτός σύνδεσης στο μεταξύ, μπορείτε να το κάνετε χωρίς να επηρεάσετε την εγγύηση ή την κάλυψη της υπηρεσίας. Θα σας ενημερώσουμε όταν η ενημέρωση είναι έτοιμη, ώστε να συνδεθείτε σύντομα για να την εφαρμόσετε.
Αυτή η προσπάθεια επισκευής δεν περιορίζεται σε μία επιδιόρθωση ή ενημέρωση λογισμικού. Χρησιμοποιούμε αυτή τη διαδικασία για να βελτιώσουμε την αρχιτεκτονική ασφάλειας και τα πρότυπα μακροπρόθεσμης διαχείρισης των προϊόντων μας.
Αυτές οι προσπάθειες περιλαμβάνουν τη βελτίωση των προτύπων ελέγχου πρόσβασης, τη βελτίωση των μοντέλων ελέγχου ταυτότητας και εξουσιοδότησης, την αύξηση της ορατότητας των χρηστών και του ελέγχου των απομακρυσμένων διαγνωστικών λειτουργιών και τη συνέχιση της μείωσης των περιττών μηχανισμών υποστήριξης παλαιού τύπου σε σχετικά συστήματα και υποδομές.
Θα συνεχίσουμε επίσης να επεκτείνουμε τις διαδικασίες ελέγχου εσωτερικής ασφάλειας, αποκατάστασης και διακυβέρνησης για να υποστηρίξουμε ισχυρότερες πρακτικές ασφάλειας μακροπρόθεσμα στο μέλλον. Στόχος μας είναι να διασφαλίσουμε ότι η ασφάλεια, η διαφάνεια και η εμπιστοσύνη των χρηστών ενσωματώνονται στη βάση των μελλοντικών συστημάτων και υπηρεσιών Yarbo.
Ορισμένα στοιχεία στην εξωτερική αναφορά περιγράφουν πραγματικά ζητήματα ασφάλειας, ενώ άλλα απαιτούν διευκρίνιση επειδή δεν ισχύουν για προϊόντα Yarbo που αποστέλλονται αυτήν τη στιγμή ή δεν αντιπροσωπεύουν ανεξάρτητες ευπάθειες.
Αυτόματη επανεκκίνηση και σταθερότητα FRP
Η αναφορά αναφέρει επίσης ότι ο πελάτης FRP μπορεί να επανεκκινηθεί μέσω προγραμματισμένων εργασιών ή μηχανισμών ανάκτησης υπηρεσιών. Αντιλαμβανόμαστε ότι αυτό μπορεί να κάνει τη μη αυτόματη απενεργοποίηση των καναλιών απομακρυσμένης πρόσβασης πιο δύσκολη, αλλά το υποκείμενο ζήτημα είναι η ύπαρξη, τα δικαιώματα και η πολιτική της ίδιας της απομακρυσμένης σήραγγας. Η θεραπεία μας επικεντρώνεται στην απενεργοποίηση ή τον περιορισμό των σηράγγων, στην παροχή λίστας επιτρεπόμενων και δυνατότητας ελέγχου και στην κατάργηση περιττών επίμονων διαδρομών απομακρυσμένης πρόσβασης.
Παρακολούθηση αρχείων και αυτο-ανάκτηση
Η αναφορά υποδεικνύει συμπεριφορά παρακολούθησης αρχείων που μπορεί να επαναφέρει ορισμένα διαγραμμένα αρχεία ή υπηρεσίες. Αυτός ο μηχανισμός σχεδιάστηκε αρχικά ως ένα μέτρο αμυντικής αξιοπιστίας για την αποφυγή τυχαίας διαγραφής ή καταστροφής κρίσιμων αρχείων υπηρεσίας. Από μόνο του, δεν προοριζόταν να λειτουργήσει ως δυνατότητα απομακρυσμένης πρόσβασης.
Ωστόσο, αναγνωρίζουμε ότι οποιοσδήποτε μηχανισμός που δυσκολεύει τους χρήστες να αφαιρέσουν στοιχεία που σχετίζονται με την απομακρυσμένη πρόσβαση μπορεί να δημιουργήσει προβλήματα εμπιστοσύνης. Εξετάζουμε ποια αρχεία πρέπει να συνεχίσουν να προστατεύονται και ποια στοιχεία πρέπει να αφαιρεθούν, να απλοποιηθούν ή να τεθούν υπό τον έλεγχο του χρήστη.
Ιστορικοί ή μη παραγωγικοί σχηματισμοί
Ορισμένα αποτελέσματα περιλαμβάνουν ιστορική υποδομή, υπηρεσίες cloud παλαιού τύπου, προσαρμογές για συγκεκριμένους προμηθευτές ή εσωτερικές διαμορφώσεις δοκιμών. Αυτά παραμένουν υπό αναθεώρηση και καθαρίζονται όπως απαιτείται, αλλά θα πρέπει να διαφοροποιούνται από την προεπιλεγμένη συμπεριφορά των μονάδων παραγωγής που αποστέλλονται αυτήν τη στιγμή.
Στόχος μας είναι να είμαστε ακριβείς: δεν θα υποβαθμίσουμε τα αποδεδειγμένα ζητήματα ασφάλειας, αλλά θέλουμε επίσης οι χρήστες να κατανοήσουν ποια ευρήματα ισχύουν για συσκευές παραγωγής, που ισχύουν μόνο για ιστορικές ή προσαρμοσμένες διαμορφώσεις και ποια αντιμετωπίζονται ως μέρος ευρύτερων προσπαθειών σκλήρυνσης.
Για να βελτιώσουμε τις αναφορές ασφαλείας στο μέλλον, εγκαινιάζουμε ένα ειδικό κανάλι απόκρισης ασφαλείας και μια διαδικασία επικοινωνίας ασφαλείας για αναφορές ευπάθειας και υπεύθυνη αποκάλυψη:
Security@yarbo.com
Το κοινό θα μπορεί επίσης να βρει τα στοιχεία επικοινωνίας ασφαλείας μας στον ιστότοπο Κέντρο Ασφαλείας Yarbo Η σελίδα βρίσκεται στην ενότητα “Εξερεύνηση” στον επίσημο ιστότοπό μας.
Διερευνούμε επίσης τη δυνατότητα δημιουργίας ενός επίσημου προγράμματος επιβράβευσης σφαλμάτων ως μέρος των ευρύτερων, μακροπρόθεσμων πρωτοβουλιών μας για την ασφάλεια.
Εκτιμούμε τον ρόλο που διαδραματίζουν οι ανεξάρτητοι ερευνητές ασφάλειας στον υπεύθυνο εντοπισμό πιθανών ζητημάτων και παραμένουμε δεσμευμένοι στην ενίσχυση της ασφάλειας, της διαφάνειας και της αξιοπιστίας των προϊόντων μας.
Καθώς συνεχίζονται οι εργασίες έρευνας και επισκευής, θα παρέχω περαιτέρω ενημερώσεις μόλις γίνουν διαθέσιμες.
Κένεθ Κόλμαν
Συνιδρυτής, Yarbo
Νέα Υόρκη
(Ετικέτες για μετάφραση) Τεχνικά
