Aplikasi Robot Yarbo Punya Celah Kritis, Penyerang Bisa Kendalikan Mesin Pemotong Rumput dari Jarak Jauh

CLB.my.id - Bayangkan punya robot pemotong rumput otomatis yang bekerja sendiri di halaman. Kini bayangkan seseorang bisa mengambil alih kendali robot itu dari jarak jauh tanpa sepengetahuan pemilik. Skenario ini bukan fiksi ilmiah, melainkan ancaman nyata yang ditemukan pada aplikasi mobile dan infrastruktur cloud milik Yarbo, produsen robotik asal Amerika Serikat yang memproduksi mesin pemotong rumput dan pembersih salju otonom.

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) merilis advisory ICSA-26-162-01 pada 11 Juni 2026 yang mengungkap serangkaian kerentanan kritis pada aplikasi Yarbo untuk Android dan iOS, beserta infrastruktur cloud MQTT yang menghubungkan seluruh armada robot mereka.

Skor CVSS 9.8: Tingkat Keparahan Tertinggi

Kerentanan ini mendapat skor CVSS versi 3 sebesar 9.8, angka yang menunjukkan tingkat keparahan kritis. Dalam skala CVSS yang berlaku umum di industri keamanan siber, skor 9.0 hingga 10.0 berarti kerentanan bisa dieksploitasi dengan relatif mudah dan dampaknya sangat serius.

Menurut advisory CISA, eksploitasi yang berhasil memungkinkan penyerang mendapatkan kredensial yang ter-hard-code di dalam aplikasi. Kredensial ini, yang seharusnya bersifat rahasia dan unik untuk setiap pengguna, justru tertanam langsung dalam kode aplikasi. Siapa pun yang bisa membaca kode aplikasi bisa menemukan kredensial tersebut.

Apa yang Bisa Dilakukan Penyerang?

Dengan menguasai kredensial tersebut, penyerang membuka pintu ke beberapa ancaman serius. Pertama, mereka bisa mengakses data telemetri robot. Data telemetri mencakup informasi lokasi, status operasional, dan pola penggunaan robot. Artinya, penyerang bisa mengetahui kapan rumah dalam keadaan kosong berdasarkan jadwal operasi robot.

Kedua, dan ini yang paling mengkhawatirkan, penyerang bisa mengirim perintah operasional langsung ke armada robot. Istilah “robot fleet” dalam advisory CISA mengacu pada kumpulan robot Yarbo yang terhubung ke infrastruktur cloud yang sama. Satu celah keamanan bisa berdampak pada ribuan robot di seluruh dunia.

Infrastruktur Cloud MQTT yang Rentan

Sistem komunikasi antara aplikasi mobile dan robot Yarbo menggunakan protokol MQTT (Message Queuing Telemetry Transport), protokol ringan yang umum dipakai untuk komunikasi perangkat IoT (Internet of Things). Namun implementasi MQTT di Yarbo ternyata memiliki kelemahan mendasar.

Kredensial yang ter-hard-code berarti tidak ada mekanisme autentikasi yang kuat antara pengguna dan sistem. Ini seperti memiliki gembok yang semua orang tahu kuncinya. Protokol MQTT memang dirancang untuk efisiensi, bukan keamanan tingkat tinggi. Namun untuk perangkat yang bisa bergerak secara fisik dan beroperasi di area pribadi, standar keamanan seharusnya jauh lebih ketat.

Dampak untuk Pengguna Indonesia

Meskipun Yarbo belum secara resmi dijual di Indonesia melalui kanal distribusi utama, produk serupa dari berbagai merek sudah mulai beredar di pasaran. Kasus Yarbo menjadi peringatan penting bagi siapa saja yang menggunakan perangkat robotik terkoneksi internet.

Konsumen yang mempertimbangkan membeli robot pemotong rumput atau perangkat IoT serupa sebaiknya memeriksa reputasi keamanan siber produsen. Pertanyaan penting yang perlu diajukan meliputi: apakah produsen memiliki program bug bounty? Seberapa cepat mereka merespons laporan kerentanan? Dan apakah aplikasi mobile mereka menggunakan autentikasi yang kuat?

Rekomendasi CISA

CISA merekomendasikan beberapa langkah mitigasi. Pengguna diminta untuk memperbarui aplikasi Yarbo ke versi terbaru segera setelah patch tersedia. Selain itu, pengguna disarankan untuk membatasi akses jaringan ke perangkat robot dan memantau aktivitas jaringan yang tidak biasa.

Untuk organisasi yang menggunakan robot Yarbo dalam operasional bisnis, CISA menyarankan untuk memisahkan jaringan robot dari jaringan utama perusahaan dan menerapkan segmentasi jaringan yang ketat.

Kasus ini menambah daftar panjang kerentanan perangkat IoT yang ditemukan pada 2026. Beberapa bulan sebelumnya, CISA juga mengungkap kerentanan serupa pada platform IoT Naxclow yang memproduksi smart doorbell dan kamera keamanan. Tren ini menunjukkan bahwa keamanan siber pada perangkat konsumen masih menjadi pekerjaan rumah besar bagi industri teknologi global.

Bagi konsumen Indonesia yang semakin akrab dengan perangkat smart home, kasus Yarbo menjadi pengingat bahwa kenyamanan teknologi harus diimbangi dengan kewaspadaan keamanan. Memeriksa pembaruan firmware secara berkala, menggunakan kata sandi yang kuat, dan memisahkan jaringan IoT dari jaringan utama adalah langkah-langkah sederhana yang bisa dilakukan siapa saja.***