Yarbo Robot Punya Password Sama untuk Semua Pengguna, Peretas Bisa Kuasai Seluruh Armada

CLB.my.id - Sebuah penemuan yang mengkhawatirkan baru saja diungkap oleh periset keamanan Markus Lassfolk dari Truesec. Aplikasi mobile Yarbo, baik versi Android maupun iOS, ternyata menyimpan kredensial MQTT yang sama persis untuk setiap pengguna dan setiap perangkat robot di seluruh dunia. Kredensial ini tertanam di dalam binary aplikasi dan bisa diekstrak hanya dengan dekompilasi APK biasa.

Temuan ini bukan sekadar celah keamanan teoretis. Dengan CVSS 9.8, skor keparahan tertinggi yang bisa diberikan, celah ini memungkinkan siapa pun yang memiliki kredensial tersebut untuk berlangganan topik telemetry dari seluruh armada robot Yarbo secara global. Lebih buruk lagi, mereka juga bisa mengirim perintah operasional ke robot mana pun hanya dengan mengetahui nomor serialnya, yang justru terungkap dari stream telemetry itu sendiri.

CISA, badan keamanan siber Amerika Serikat, secara resmi memasukkan celah ini ke dalam advisory ICSA-26-162-01 pada 11 Juni 2026. Produk yang terdampak meliputi aplikasi mobile Yarbo versi sebelum 3.17.4 dan seluruh versi infrastruktur cloud MQTT mereka. Yarbo, perusahaan yang berpusat di China, memproduksi robot yang digunakan di sektor Commercial Facilities dan sudah diterapkan secara global.

Dua Celah Kritis yang Saling Melengkapi

Celah pertama, CVE-2026-10557 dengan skor CVSS 9.8, berkaitan dengan penggunaan kredensial hard-coded. Setiap aplikasi Yarbo yang diinstal di ponsel pengguna mengandung username dan password MQTT broker yang identik. Kredensial ini bukan unik per pengguna, melainkan satu set kredensial global yang dibagikan ke semua perangkat. Artinya, satu kredensial yang bocor berarti seluruh armada robot Yarbo di dunia bisa diakses.

Celah kedua, CVE-2026-7368 dengan skor CVSS 8.1, adalah ketiadaan otorisasi per perangkat atau per pengguna di sisi cloud Yarbo. Bahkan setelah kredensial hard-coded dihapus dari aplikasi, setiap klien yang memiliki kredensial valid, baik itu kredensial hard-coded maupun kredensial per pengguna yang sah, tetap bisa berlangganan topik wildcard yang mencakup semua robot secara global. Sistem cloud Yarbo sama sekali tidak memverifikasi apakah sebuah klien berhak mengakses robot tertentu.

Kombinasi dua celah ini menciptakan situasi yang sangat berbahaya. Seorang penyerang hanya perlu mengunduh aplikasi Yarbo, mendekompilasi APK, mengekstrak kredensial MQTT, lalu menghubungkan diri ke broker cloud. Dari sana, ia bisa memantau lokasi, status, dan data telemetry setiap robot Yarbo yang beroperasi di seluruh dunia. Yang lebih mengkhawatirkan, ia juga bisa mengirim perintah operasional langsung ke robot mana pun.

Apa yang Bisa Dilakukan Pengguna Yarbo

Yarbo sudah merilis pembaruan aplikasi versi 3.17.4 yang menghapus kredensial hard-coded dari binary. Pengguna disarankan segera memperbarui aplikasi mereka melalui Google Play Store atau Apple App Store. Untuk infrastruktur cloud, Yarbo menyatakan bahwa otorisasi sisi server akan diterapkan secara otomatis melalui pembaruan Mei 2026 dan tidak memerlukan tindakan tambahan dari pengguna.

CISA juga mengimbau semua organisasi yang menggunakan perangkat kontrol industri untuk meminimalkan paparan jaringan, memastikan perangkat tidak bisa diakses dari internet publik, dan menempatkan jaringan kontrol di balik firewall yang terisolasi dari jaringan bisnis. Penggunaan VPN yang selalu diperbarui juga direkomendasikan untuk akses jarak jauh.

Meskipun belum ada laporan eksploitasi aktif yang menargetkan celah spesifik ini, sifat kredensial yang dibagikan secara global membuat risikonya sangat tinggi. Setiap orang yang pernah mendekompilasi aplikasi Yarbo dalam beberapa tahun terakhir berpotensi memiliki akses ke seluruh armada robot perusahaan ini.***