Aplicación móvil Yarbo para Android/iOS y su infraestructura en la nube

**Vulnerabilidades Críticas en la Aplicación Móvil de Yarbo: Un Llamado a la Acción para Usuarios y Empresas**

En el contexto actual, donde la interconectividad y la automatización están cada vez más presentes en el entorno industrial y doméstico, la seguridad cibernética se ha convertido en una preocupación primordial. Las vulnerabilidades que afectan a las aplicaciones móviles y a la infraestructura en la nube de empresas como Yarbo no solo comprometen la integridad de sus sistemas, sino que también pueden tener repercusiones significativas para los usuarios finales y las organizaciones que dependen de estos servicios. La reciente identificación de fallos en las versiones de la aplicación móvil de Yarbo para Android e iOS resalta la necesidad de una mayor atención a la seguridad en el diseño de software, especialmente cuando se trata de controlar flotas de robots.

Las versiones afectadas de la aplicación móvil de Yarbo presentan credenciales de MQTT (Message Queuing Telemetry Transport) codificadas de forma rígida, las cuales son idénticas para todos los usuarios y dispositivos. Esta vulnerabilidad permite a un atacante, tras descompilar el APK de la aplicación, acceder a estas credenciales que están incrustadas en el binario de la aplicación. Una vez obtenidas, estas credenciales permiten la suscripción a todos los temas de telemetría de la flota de robots de Yarbo, así como la publicación de comandos a cualquier robot utilizando simplemente su número de serie. Esto implica que un atacante podría obtener datos sensibles de la flota y enviar órdenes operativas, lo que representa un riesgo inminente no solo para la seguridad de los dispositivos, sino también para la integridad de las operaciones que dependen de ellos.

El Centro de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha identificado estos problemas bajo el CVE-2023-XXXX, que se clasifica como una vulnerabilidad de uso de credenciales codificadas. La falta de autorización específica por dispositivo o usuario en la nube de Yarbo agrava la situación, ya que cualquier cliente que posea credenciales válidas, ya sean las compartidas o legítimas, puede acceder a temas de telemetría de todos los robots a nivel global. Esto pone de manifiesto la insuficiencia de los controles de acceso, ya que incluso tras la eliminación de las credenciales codificadas de la aplicación, un único conjunto de credenciales comprometidas podría permitir el acceso a toda la flota sin controles de acceso adecuados por dispositivo.

En respuesta a estas vulnerabilidades, Yarbo ha recomendado a los usuarios que actualicen su aplicación móvil a la versión 3.17.4 o posterior. Esta actualización, programada para ser implementada en mayo de 2026, establecerá automáticamente controles de autorización en el lado del servidor para mitigar el riesgo. Sin embargo, la recomendación de actualizar no exime a los usuarios de la responsabilidad de evaluar su exposición a estas vulnerabilidades y tomar medidas proactivas.

CISA ha proporcionado una serie de recomendaciones para minimizar el riesgo de explotación de estas vulnerabilidades. Es fundamental reducir la exposición de la red para todos los dispositivos y sistemas de control, asegurándose de que no sean accesibles desde Internet. Además, se sugiere ubicar las redes de sistemas de control y dispositivos remotos detrás de cortafuegos, aislándolos de las redes empresariales. Cuando se requiera acceso remoto, se deben utilizar métodos más seguros, como las Redes Privadas Virtuales (VPN), aunque es importante recordar que las VPN también pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible.

La CISA también recuerda a las organizaciones que deben realizar un análisis adecuado del impacto y una evaluación de riesgos antes de implementar medidas de defensa. En su página web dedicada a la seguridad de los sistemas de control industrial, CISA proporciona una sección con prácticas recomendadas que se pueden consultar para fortalecer la ciberseguridad.

Es importante señalar que, hasta la fecha, no se ha reportado explotación pública específica de estas vulnerabilidades. Sin embargo, CISA insta a las organizaciones a observar actividades sospechosas y seguir los procedimientos internos establecidos, así como a reportar hallazgos para su seguimiento y correlación con otros incidentes.

Además de las medidas de mitigación mencionadas, CISA también recomienda precauciones contra ataques de ingeniería social. Los usuarios deben evitar hacer clic en enlaces web o abrir archivos adjuntos en correos electrónicos no solicitados, y familiarizarse con las estrategias para reconocer y evitar estafas por correo electrónico y ataques de phishing.

El llamado a la acción es claro: tanto los usuarios como las organizaciones deben adoptar un enfoque proactivo hacia la ciberseguridad, implementando las estrategias recomendadas y actualizando sus sistemas para protegerse contra vulnerabilidades que pueden tener consecuencias devastadoras. En un mundo cada vez más interconectado, la seguridad no es solo una responsabilidad técnica, sino un compromiso colectivo para salvaguardar la integridad de nuestros sistemas y datos.

View CSAF Successful exploitation of these vulnerabilities could allow an attacker to obtain hard-coded credentials, gain access to telemetry data, and potentially send operational commands to the robot fleet. The following versions of Yarbo Android/iOS Mobile Application and Cloud Infrastructure are affected: Expand All + The Yarbo Android and iOS applications contain hard-coded MQTT broker credentials that are identical for all users and all devices. These credentials are embedded in the application binary and are readily extractable via APK decompilation. The credentials provide access to cloud MQTT brokers carrying real-time telemetry for the entire global Yarbo robot fleet. They allow both wildcard subscription to all robot telemetry topics and publishing to any robot's command topic using only the robot's serial number.. View CVE Details MitigationYarbo recommends users update the Yarbo mobile app to 3.17.4 or later. Server-side broker authorization will be enforced automatically upon deployment of the May 2026 update. No user action is required. Relevant CWE:CWE-798 Use of Hard-coded Credentials The Yarbo cloud does not enforce per-device or per-user authorization. Any client possessing valid credentials, whether the shared hard-coded credentials or legitimate per-user credentials, can subscribe to wildcard topics covering all robots globally, and can publish to any robot's command topic using only the robot's serial number (disclosed in the telemetry stream). Even after removal of hard-coded credentials from the app, a single compromised credential could still provide fleet-wide access without per-device access controls. View CVE Details MitigationYarbo recommends users update the Yarbo mobile app to 3.17.4 or later. Server-side broker authorization will be enforced automatically upon deployment of the May 2026 update. No user action is required. Relevant CWE:CWE-862 Missing Authorization This product is provided subject to this Notification (https://www.cisa.gov/notification) and this Privacy & Use policy (https://www.cisa.gov/privacy-policy). CISA recommends users take defensive measures to minimize the risk of exploitation of this these vulnerabilities. Minimize network exposure for all control system devices and/or systems, ensuring they are not accessible from the internet. Locate control system networks and remote devices behind firewalls and isolating them from business networks. When remote access is required, use more secure methods, such as Virtual Private Networks (VPNs), recognizing VPNs may have vulnerabilities and should be updated to the most current version available. Also recognize VPN is only as secure as the connected devices. CISA reminds organizations to perform proper impact analysis and risk assessment prior to deploying defensive measures. CISA also provides a section for control systems security recommended practices on the ICS webpage on cisa.gov/ics. Several CISA products detailing cyber defense best practices are available for reading and download, including Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies. CISA encourages organizations to implement recommended cybersecurity strategies for proactive defense of ICS assets. Additional mitigation guidance and recommended practices are publicly available on the ICS webpage at cisa.gov/ics in the technical information paper, ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies. Organizations observing suspected malicious activity should follow established internal procedures and report findings to CISA for tracking and correlation against other incidents. CISA also recommends users take the following measures to protect themselves from social engineering attacks: Do not click web links or open attachments in unsolicited email messages. Refer to Recognizing and Avoiding Email Scams for more information on avoiding email scams. Refer to Avoiding Social Engineering and Phishing Attacks for more information on social engineering attacks. No known public exploitation specifically targeting these vulnerabilities has been reported to CISA at this time.