Aplikasi Robot Yarbo Punya Celah Kritis, Kredensial MQTT Bisa Dicuri dari APK

CLB.my.id - Badan Keamanan Siber AS (CISA) merilis peringatan keras terhadap kerentanan pada aplikasi mobile dan infrastruktur cloud robot Yarbo. Celah keamanan ini mendapat skor CVSS 9.8, level kritis tertinggi, karena memungkinkan peretas mengambil alih kendali seluruh armada robot Yarbo di seluruh dunia.

Peringatan dengan kode ICSA-26-162-01 ini dirilis pada 11 Juni 2026 dan menargetkan aplikasi Yarbo di Android maupun iOS, serta infrastruktur cloud MQTT yang menghubungkan seluruh perangkat. Yarbo sendiri adalah produsen robot otonom asal China yang produknya digunakan di berbagai sektor fasilitas komersial secara global.

Apa yang Bisa Dilakukan Peretas

Kerentanan utama teridentifikasi dalam CVE-2026-10557. Aplikasi Yarbo di Android dan iOS mengandung kredensial MQTT broker yang tertanam langsung di dalam binary aplikasi. Kredensial ini bersifat identik untuk semua pengguna dan semua perangkat, artinya satu set kredensial yang sama dipakai oleh jutaan perangkat di seluruh dunia.

Yang membuat situasi semakin berbahaya, kredensial tersebut bisa diekstrak dengan mudah melalui dekompilasi APK. Begitu berhasil diambil, peretas bisa melakukan wildcard subscription ke semua topik telemetry robot, sekaligus mengirim perintah operasional ke robot mana pun hanya dengan mengetahui nomor serinya.

Dampaknya sangat serius. Peretas bisa mengakses data telemetry real-time dari seluruh armada robot Yarbo global. Lebih jauh lagi, mereka bisa mengirim perintah operasional langsung ke robot yang sedang berjalan. Bayangkan robot pemotong rumput otonom atau robot pembersih yang tiba-tiba bergerak di luar kendali pemiliknya.

Mengapa Kerentanan Ini Sangat Berbahaya

Skor CVSS 9.8 bukan angka main-main. Dalam skala Common Vulnerability Scoring System, angka 9.0 hingga 10.0 masuk kategori kritis. Artinya, kerentanan ini bisa dieksploitasi secara remote tanpa autentikasi dan dampaknya berskala global.

Masalah kredensial hard-coded sudah lama menjadi masalah klasik di keamanan IoT. Namun kasus Yarbo menunjukkan bahwa produsen robot otonom masih mengabaikan praktik keamanan dasar. Kredensial yang sama untuk semua perangkat berarti satu kebocoran bisa membuka akses ke seluruh ekosistem.

Infrastruktur MQTT yang dipakai Yarbo seharusnya menggunakan autentikasi perangkat unik, bukan kredensial bersama. Protokol MQTT memang dirancang untuk komunikasi ringan antar perangkat IoT, tetapi tanpa autentikasi yang tepat, protokol ini menjadi pintu masuk bagi penyerang.

Rekomendasi untuk Pengguna

CISA merekomendasikan pengguna Yarbo untuk segera memperbarui aplikasi mobile mereka ke versi terbaru setelah patch tersedia. Pengguna juga diminta memantau pergerakan tidak biasa pada robot mereka dan membatasi akses jaringan ke perangkat Yarbo hingga pembaruan keamanan diterapkan.

Bagi organisasi yang menggunakan robot Yarbo di lingkungan komersial, disarankan untuk melakukan segmentasi jaringan dan memisahkan perangkat IoT dari jaringan utama. Monitoring traffic MQTT juga bisa membantu mendeteksi aktivitas mencurigakan sejak dini.

Kasus ini menjadi pengingat penting bagi seluruh industri IoT. Seiring semakin banyaknya perangkat otonom yang memasuki pasar, keamanan siber bukan lagi fitur tambahan, melainkan kebutuhan mutlak. Produsen yang mengabaikan praktik keamanan dasar berisiko kehilangan kepercayaan konsumen dan menghadapi konsekuensi regulasi.

Yarbo belum merilis pernyataan resmi terkait timeline perbaikan kerentanan ini. CISA terus memantau situasi dan akan memperbarui informasi jika ada perkembangan baru dari vendor.

Konteks Keamanan IoT Global

Kasus Yarbo bukan yang pertama kali menghantam industri robot otonom. Dalam beberapa tahun terakhir, sejumlah produsen perangkat IoT menghadapi masalah serupa. Kamera pengawas, bel pintu pintar, hingga sistem kontrol industri pernah ditemukan memiliki kredensial hard-coded yang rentan dieksploitasi.

Data CISA menunjukkan bahwa kerentanan IoT dengan skor CVSS di atas 9.0 cenderung meningkat setiap tahun. Hal ini sejalan dengan pertumbuhan jumlah perangkat IoT yang diprediksi mencapai 30 miliar unit secara global pada 2027. Setiap perangkat yang terhubung ke internet berpotensi menjadi titik masuk bagi penyerang.

Bagi pengguna di Indonesia, kasus ini layak menjadi perhatian. Pasar robot otonom di Tanah Air mulai tumbuh, terutama di sektor pertanian presisi dan kebersihan fasilitas. Konsumen yang mempertimbangkan pembelian robot otonom sebaiknya memastikan produsen memiliki track record keamanan siber yang baik dan menyediakan pembaruan firmware secara rutin.

Serangan terhadap infrastruktur IoT juga bisa berdampak lebih luas dari sekadar perangkat individu. Robot yang terhubung ke jaringan perusahaan bisa menjadi gerbang masuk ke sistem yang lebih besar. Inilah mengapa praktik segmentasi jaringan dan zero-trust architecture semakin relevan di era perangkat terhubung.***