Hackbar robotgräsklippare avslöjar kritisk sårbarhet i Sveriges gräsmattor
Säkerhetsforskare har visat att robotgräsklippare kan kapas på distans och förvandlas till autonoma trädgårdsterrorister. Experter uppmanar nu villaägare att omedelbart patcha sina gräsmattor.
Foto: Bildbyrån Riksbulletinen
Säkerhetsforskare har visat att robotgräsklippare kan kapas på distans och förvandlas till autonoma trädgårdsterrorister. Experter uppmanar nu villaägare att omedelbart patcha sina gräsmattor.
Det som länge betraktades som en solved problem inom IoT-baserad gräsyteförvaltning har nu visat sig vara en fullskalig zero-day-katastrof. Forskare vid ett amerikanskt säkerhetsföretag demonstrerade hur en angripare via en enkel API-exploit kan ta full kontroll över robotgräsklippare. Klipparen kan sedan fjärrstyras in i rabatter, mot husdjur eller rakt ut på allmän väg. Sårbarheten har enligt GitHub-issuen varit känd sedan 2019 men klassades som ”won’t fix”.
Analog häck ingen lösning enligt experter
Kjell Khod har talat med flera branschröster som alla pekar på samma grundproblem: för lite automation, inte för mycket. ”Att gå tillbaka till manuella gräsklippare vore som att lösa en DNS-konflikt genom att stänga av internet”, säger dr. Petra Nodström, docent i cyberfysisk trädgårdssäkerhet vid KTH. Hon menar att lösningen är att implementera end-to-end-kryptering mellan gräsmattan och klipparen.
Problemet illustrerar en djupare tech debt i hela det svenska villasamhället. I årtionden har husägare vägrat uppdatera sina trädgårdars firmware. Resultatet är ett lapptäcke av osäkra enheter som kommunicerar via föråldrade protokoll. En häck erbjuder exempelvis noll autentisering och kan penetreras av i princip vem som helst med en sekatör.
Från politiskt håll har reaktionerna varit försiktiga. Digitaliseringsminister fictiv Åsa Bytén (S) meddelade i ett pressuttalande att regeringen ”ser allvarligt på alla former av skalbarhetsproblem i grönyteinfrastrukturen”. Hon lovade en utredning som ska vara klar 2028. Oppositionen krävde omedelbart att alla gräsklippare ska BankID-verifieras före varje klippning.
Tillverkaren själv hänvisar till att användare bör läsa den 340 sidor långa säkerhetsmanualen som medföljer i PDF-format. Där framgår att standardlösenordet är ”1234” och att det ”rekommenderas” att byta det. En talesperson tillade att de flesta kunder faktiskt aldrig blivit attackerade av sin egen gräsklippare, vilket bolaget ser som ett starkt betyg.
Säkerhetsforskarna avslutar sin rapport med att konstatera att den enda helt säkra gräsklipparen är en som inte är ansluten till internet. Kjell Khod vill dock påpeka att det är exakt den sortens regressiv, pre-digital mentalitet som gav oss räfsan.
