Expert: Hackad robot gräsklippare visar att Sverige äntligen digitaliserat även dödsfällorna
En ny sårbarhet i uppkopplade robotgräsklippare låter hackare styra knivar fritt över villamattor i hela landet. Säkerhetsforskare kallar det en mardröm medan teknikentusiaster ser en välkommen disruption av den analoga trädgårdssektorn.
Foto: Bildbyrån Riksbulletinen
En ny sårbarhet i uppkopplade robotgräsklippare låter hackare styra knivar fritt över villamattor i hela landet. Säkerhetsforskare kallar det en mardröm medan teknikentusiaster ser en välkommen disruption av den analoga trädgårdssektorn.
Att en robot gräsklippare hackad säkerhet skulle bli sommarens hetaste ämne förvånar bara dem som fortfarande klipper gräset manuellt. Forskare vid cybersäkerhetsföretaget Land Mine Labs avslöjade i veckan att populära modeller kan fjärrstyras av i princip vem som helst med en bärbar dator och grundläggande API-kunskaper. Sårbarheterna inkluderar avsaknad av TLS-kryptering, hårdkodade autentiseringsnycklar och vad som i branschen kallas ”tech debt av episka proportioner”. Det handlar alltså om klassiska misstag som aldrig skulle godkänts i en seriös code review.
Tillverkare skyller på legacy-infrastruktur och ”komplexa hotbilder”
Tillverkaren EverMow meddelade i ett pressuttalande att man ”tar alla säkerhetsaspekter på största allvar” och hänvisade till en öppen GitHub-issue från 2019 som bevis på sitt proaktiva arbete. Att samma issue fortfarande är öppen och taggad med ”wontfix” kommenterade man inte. Enligt Kjell Khods genomgång av koden saknas även grundläggande input-validering, något som normalt lärs ut första veckan på varje DevSecOps-bootcamp.
”Problemet är inte att klipparen är uppkopplad. Problemet är att folk fortfarande har gräsmattor”, säger dr. Alva Sköld, IoT-strateg vid Mälardalens Innovationshub. ”I en verkligt skalbar trädgårdsarkitektur hade vi ersatt biologiskt gräs med en microservice-baserad markyta som inte kräver underhåll alls.”
Regeringens digitaliseringsminister Björn-Harald Svensson sade vid en hastigt sammankallad pressträff att man följer utvecklingen noga. Han tillade att myndigheterna redan har en arbetsgrupp som ska ta fram ett ramverk för att utreda behovet av en utredning. Tills vidare rekommenderas medborgare att uppdatera firmware, byta standardlösenord och undvika att stå i trädgården.
Kritiker menar att det är absurt att ett redskap vars enda uppgift är att klippa gräs behöver Wi-Fi, Bluetooth, molnkonto och en 47-sidig integritetspolicy. Men den invändningen avslöjar framför allt en djupt analog världsbild. Best practices inom modern edge computing kräver full konnektivitet. Att gå tillbaka till manuella gräsklippare vore som att föreslå att vi löser cyberbrottslighet genom att avskaffa internet.
Nästa steg är enligt branschexperter att integrera AI-baserad hotdetektering direkt i klipparen, så att den autonomt kan avgöra om den blivit hackad och i så fall stanna. Att just den funktionen i sig kräver ytterligare en uppkoppling som kan hackas beskrivs i fotnot 14 i den tekniska rapporten, som ingen ännu har läst.
