Aplikasi dan Cloud Yarbo Punya Celah Kritis, Seluruh Armada Robot Bisa Dikendalikan dari Jauh

CLB.my.id - Badan Keamanan Siber Amerika Serikat (CISA) merilis advisory darurat pada 11 Juni 2026 yang mengungkap sejumlah kerentanan kritis pada aplikasi mobile Yarbo beserta infrastruktur cloud-nya. Celah keamanan ini memungkinkan peretas mengambil alih kendali seluruh armada robot pembersih salju dan pemotong rumput buatan Yarbo dari jarak jauh.

Skor CVSS (Common Vulnerability Scoring System) untuk kerentanan ini mencapai 9.8 dari 10, angka tertinggi yang menandakan tingkat bahaya sangat serius. Dengan skor tersebut, celah ini termasuk kategori kritis yang berpotensi menyebabkan kerusakan besar jika dieksploitasi oleh pihak yang tidak bertanggung jawab.

Apa Saja yang Terdampak?

Menurut advisory CISA dengan kode ICSA-26-162-01, semua versi aplikasi Yarbo untuk Android dan iOS terdampak. Tidak hanya aplikasi mobile, infrastruktur cloud berbasis MQTT (Message Queuing Telemetry Transport) yang menjadi tulang punggung komunikasi antara robot dan server juga ikut rentan.

MQTT adalah protokol komunikasi ringan yang umum dipakai untuk perangkat Internet of Things (IoT). Protokol ini memungkinkan robot Yarbo mengirim data telemetri ke cloud dan menerima perintah operasional dari pengguna lewat aplikasi mobile. Ketika infrastruktur MQTT ini kompromi, seluruh jalur komunikasi antara manusia dan robot bisa disadap atau dimanipulasi.

Yarbo sendiri adalah produsen robot multifungsi asal Tiongkok yang memasarkan produknya secara global. Perusahaan ini membangun reputasi di segmen robot luar ruangan yang bisa beroperasi secara otonom, mulai dari membersihkan salju di musim dingin hingga memotong rumput di musim panas. Produk andalan mereka menggunakan sistem modular yang memungkinkan satu unit robot menjalankan berbagai tugas hanya dengan mengganti aksesoris.

Apa Risikonya bagi Pengguna?

Kerentanan yang ditemukan mencakup kredensial yang tertanam langsung dalam kode aplikasi, yang dalam dunia keamanan siber dikenal sebagai hard-coded credentials. Kredensial semacam ini seharusnya tidak pernah ada di kode sumber karena bisa diekstrak oleh siapa saja yang menganalisis aplikasi menggunakan tools reverse engineering yang sudah umum tersedia.

Jika seorang penyerang berhasil mendapatkan kredensial tersebut, ia bisa mengakses data telemetri seluruh armada robot yang terhubung ke infrastruktur cloud yang sama. Data telemetri mencakup informasi lokasi GPS, status operasional, jadwal kerja, dan berbagai parameter teknis lainnya yang seharusnya bersifat rahasia.

Lebih berbahaya lagi, penyerang juga berpotensi mengirim perintah operasional langsung ke robot. Dalam konteks robot pembersih salju dan pemotong rumput yang beroperasi otomatis di halaman rumah, perintah dari pihak tak berwenang bisa menyebabkan robot bergerak di luar pola yang diinginkan, menabrak rintangan, masuk ke area terlarang, atau bahkan membahayakan orang dan hewan peliharaan di sekitarnya.

Skala Ancaman untuk Pengguna Indonesia

Meskipun Yarbo belum memiliki penetrasi pasar yang luas di Indonesia, tren penggunaan robot otonom untuk keperluan rumah tangga dan komersial terus meningkat. Beberapa distributor sudah mulai memasarkan produk sejenis dari berbagai merek, dan prinsip keamanan yang sama berlaku untuk semua perangkat IoT serupa.

Bagi pengguna Indonesia yang sudah memakai robot pembersih otomatis dari merek apa pun, advisory ini menjadi pengingat penting. Perangkat yang terhubung ke cloud selalu membawa risiko tambahan dibandingkan perangkat yang beroperasi secara offline. Memastikan firmware selalu diperbarui dan mengganti kata sandi default adalah langkah dasar yang sering diabaikan.

Rekomendasi CISA dan Langkah Mitigasi

CISA belum merilis patch atau pembaruan spesifik dari Yarbo saat advisory ini diterbitkan. Namun, lembaga tersebut menyarankan beberapa langkah mitigasi umum yang bisa diterapkan pengguna dan administrator jaringan.

Pertama, membatasi akses jaringan ke perangkat dan infrastruktur Yarbo hanya untuk pihak yang berwenang. Pengguna disarankan tidak membiarkan robot terhubung ke jaringan Wi-Fi publik atau jaringan yang tidak diamankan. Kedua, memastikan perangkat tidak terhubung langsung ke internet tanpa perlindungan firewall yang memadai.

Ketiga, memantau lalu lintas jaringan yang mencurigakan terkait protokol MQTT. Bagi organisasi yang menggunakan robot Yarbo dalam skala besar, melakukan segmentasi jaringan khusus untuk perangkat IoT adalah praktik terbaik yang bisa membatasi dampak jika terjadi kompromi.

CISA juga mengimbau organisasi untuk melakukan penilaian risiko menyeluruh sebelum mengimplementasikan sistem robot otonom di lingkungan kritis. Advisory ini menjadi pengingat bahwa perangkat IoT yang semakin canggih juga membuka permukaan serangan yang lebih luas, dan keamanan siber harus menjadi pertimbangan utama sejak tahap desain produk.