در اینجا وعده یاربو برای تعمیر ماشین چمن زنی روباتیکی است که به من برخورد کرد

من این را مستقیماً می نویسم زیرا مسائل مطرح شده در گزارش امنیتی اخیر مستحق پاسخ مستقیم و غیرشرکتی است.

در 7 مه 2026، محقق امنیتی آندریاس ماکریس گزارش مفصلی را منتشر کرد که آسیب‌پذیری‌های جدی در سیستم‌های تشخیص از راه دور، مدیریت اعتبار و سیستم‌های مدیریت داده Yarbo را شناسایی کرد. نتایج فنی اساسی دقیق هستند. مایلم از آقای آندریاس ماکریس برای شناسایی این مشکلات و اصرار در جلب توجه ما تشکر کنم. من همچنین می‌دانم که پاسخ اولیه ما به اندازه کافی شدت مسائلی را که او شناسایی کرده است منعکس نمی‌کند. به عنوان یکی از بنیانگذاران، من مسئول آنچه در محصولات ما ارسال می شود و پاسخ آن هستم.

تیم های فنی، محصول، حقوقی و پشتیبانی مشتری ما در حال کار بر روی حل مشکلات با بالاترین اولویت هستند. آنچه در ادامه می‌آید شرح من از آنچه پیدا شد، آنچه قبلاً اصلاح کرده‌ایم، آنچه را که فعالانه تعمیر می‌کنیم، و آنچه که متعهد به تغییر در نحوه عملکرد خود در آینده هستیم، است.

بر اساس تجزیه و تحلیل اولیه ما، مسائل در درجه اول به انتخاب های طراحی تاریخی در بخش هایی از سیستم های تشخیص از راه دور، مدیریت دسترسی و مدیریت داده ها مربوط می شود.

به طور خاص، برخی از ویژگی‌های قدیمی پشتیبانی و نگهداری، دید یا کنترل کافی را در اختیار کاربران قرار ندادند، و برخی از مکانیسم‌های مدیریت اعتبار و اعتبار استانداردهای امنیتی مورد انتظار ما برای محصولات امروزی را برآورده نکردند.

ما همچنین مناطقی را شناسایی کردیم که مجوزهای دسترسی، پیکربندی‌های سیستم پشتیبان و جریان داده‌ها بین دستگاه‌ها و سرویس‌های ابری نیازمند حفاظت‌های قوی‌تر و کنترل‌های سخت‌تر هستند.

ما به شدت این مسائل و نگرانی هایی که ممکن است برای مشتریان و جامعه ایجاد کرده باشند، می دانیم. ما صمیمانه به خاطر تأثیری که این وضعیت ایجاد کرده است پوزش می‌خواهیم و متعهد هستیم که به صورت شفاف و مسئولانه به این مسائل رسیدگی کنیم.

ما در حال تقویت امنیت سیستم با کاهش مسیرهای دسترسی قدیمی، محدود کردن مجوزها، و انتقال به اعتبارنامه های کاملاً قابل تأیید در سطح دستگاه هستیم. برای روشن کردن پیشرفت پاکسازی خود، اقداماتی را که قبلا انجام شده است از کارهایی که در حال انجام است جدا می کنیم.

کاری که قبلا انجام داده ایم

الان روی چه چیزی کار می کنیم

سرورهای تاریخی و کانال‌های دسترسی قدیمی به عنوان بخشی از این فرآیند اصلاح، یکی یکی حذف می‌شوند.

ما همچنین به‌روزرسانی‌های امنیتی OTA و حفاظت‌های اضافی سمت سرور را تسریع می‌کنیم. انتظار می رود موج اول به روز رسانی ها ظرف یک هفته آغاز شود. مهم: به‌روزرسانی سیستم‌افزار امنیتی برای همه دستگاه‌های Yarbo ارائه شده است. برای دریافت این به روز رسانی، یاربو را به اینترنت متصل کنید. پس از اعمال به‌روزرسانی، می‌توانید به تنظیمات شبکه دلخواه خود بازگردید. اگر ترجیح می دهید دستگاه خود را در این مدت آفلاین نگه دارید، می توانید این کار را بدون تأثیرگذاری بر ضمانت یا پوشش خدمات خود انجام دهید. زمانی که به‌روزرسانی آماده شد، به شما اطلاع می‌دهیم تا بتوانید برای اعمال آن به طور مختصر متصل شوید.

این تلاش اصلاحی تنها به یک اصلاح یا به روز رسانی نرم افزار محدود نمی شود. ما از این فرآیند برای تقویت معماری بلندمدت امنیتی و استانداردهای حاکمیتی زیربنای محصولات خود استفاده می کنیم.

این تلاش‌ها شامل تقویت استانداردهای کنترل دسترسی، بهبود مدل‌های احراز هویت و مجوز، افزایش دید کاربر و کنترل بر قابلیت‌های تشخیص از راه دور، و کاهش بیشتر مکانیسم‌های پشتیبانی غیر ضروری در سیستم‌ها و زیرساخت‌های مرتبط است.

ما همچنین به گسترش فرآیندهای بررسی امنیت داخلی، اصلاح و حاکمیت خود ادامه خواهیم داد تا از اقدامات امنیتی قوی تر و بلندمدت در آینده حمایت کنیم. هدف ما این است که اطمینان حاصل کنیم که امنیت، شفافیت و اعتماد کاربران پایه و اساس سیستم‌ها و خدمات Yarbo آینده است.

برخی از عناصر گزارش خارجی مسائل امنیتی واقعی را تشریح می‌کنند، در حالی که برخی دیگر نیاز به توضیح دارند، زیرا در مورد محصولات Yarbo که در حال حاضر ارسال می‌شوند اعمال نمی‌شوند یا آسیب‌پذیری‌های امنیتی مستقل را نشان نمی‌دهند.

راه اندازی مجدد خودکار و ماندگاری FRP

این گزارش همچنین اشاره می‌کند که کلاینت FRP ممکن است از طریق کارهای زمان‌بندی‌شده یا مکانیسم‌های بازیابی سرویس راه‌اندازی مجدد شود. می دانیم که این ممکن است غیرفعال کردن دستی کانال های دسترسی از راه دور را دشوارتر کند، اما مسئله اصلی در وجود، مجوزها و خط مشی خود تونل راه دور نهفته است. راه حل ما بر غیرفعال کردن یا مهار کردن تونل ها، معرفی لیست سفید و قابلیت ممیزی، و حذف مسیرهای غیر ضروری دسترسی از راه دور دائمی تمرکز دارد.

نظارت بر فایل ها و بازیابی خودکار

این گزارش به رفتار نظارت بر فایل اشاره می‌کند که می‌تواند برخی فایل‌ها یا سرویس‌های حذف شده را بازیابی کند. این مکانیزم در ابتدا به عنوان یک معیار قابلیت اطمینان دفاعی برای جلوگیری از حذف تصادفی یا خراب شدن فایل‌های سرویس حیاتی طراحی شد. به خودی خود، قرار نبود به عنوان یک ویژگی دسترسی از راه دور کار کند.

با این اوصاف، می‌دانیم که هر مکانیزمی که حذف اجزای مرتبط با دسترسی از راه دور را برای کاربران دشوار می‌کند، ممکن است مشکلات قابلیت اطمینان ایجاد کند. ما در حال بررسی هستیم که کدام فایل‌ها باید همچنان محافظت شوند و کدام مؤلفه‌ها باید حذف، ساده‌سازی یا تحت کنترل کاربر قرار گیرند.

پیکربندی های تاریخی یا غیرتولیدی

برخی از یافته‌ها شامل زیرساخت‌های تاریخی، سرویس‌های ابری قدیمی، سفارشی‌سازی‌های خاص فروشنده، یا تنظیمات تست داخلی است. این موارد در حال بررسی هستند و در صورت لزوم پاکسازی می شوند، اما باید از رفتار پیش فرض واحدهای تولیدی فعلی متمایز شوند.

هدف ما این است که مشخص باشیم: ما مسائل امنیتی تایید شده را کم اهمیت نمی‌دانیم، اما همچنین می‌خواهیم کاربران بدانند که کدام یافته‌ها برای دستگاه‌های تولیدی اعمال می‌شوند، که فقط برای پیکربندی‌های تاریخی یا سفارشی اعمال می‌شوند، و کدام‌ها به عنوان بخشی از تلاش‌های سخت‌سازی گسترده‌تر مورد بررسی قرار می‌گیرند.

برای بهبود گزارش‌دهی امنیتی در آینده، یک کانال پاسخ امنیتی اختصاصی و فرآیند تماس امنیتی برای گزارش آسیب‌پذیری و افشای مسئولانه راه‌اندازی می‌کنیم:

security@yarbo.com

عموم همچنین می توانند اطلاعات تماس امنیتی ما را در صفحه مرکز امنیتی Yarbo در بخش “کاوش” وب سایت رسمی ما بیابند.

ما همچنین در حال بررسی امکان ایجاد یک برنامه جایزه رسمی باگ به عنوان بخشی از ابتکارات امنیتی طولانی مدت خود هستیم.

ما نقشی را که محققان مستقل امنیتی در شناسایی مسئولانه مسائل بالقوه ایفا می‌کنند ارزشمند می‌دانیم و به تقویت امنیت، شفافیت و قابلیت اطمینان محصولات خود متعهد می‌مانیم.

همانطور که تحقیقات و کار اصلاحی ادامه دارد، به‌روزرسانی‌های بیشتری را به محض در دسترس قرار دادن ارائه خواهم کرد.

کنت کولمان

یکی از بنیانگذاران، یاربو

نیویورک