Dieses Update ergänzt unser Sicherheits-Advisory vom 8. Mai 2026. Seit dieser Offenlegung haben unsere Engineering- und Sicherheitsteams die identifizierten Probleme weiterhin überprüft und behoben, einschließlich zusätzlicher Erkenntnisse, die uns durch koordinierte Offenlegung des Sicherheitsforschers Andreas Makris mitgeteilt wurden.
Wir veröffentlichen dieses Update, um die Transparenz gegenüber unseren Kunden und der breiteren Sicherheitsgemeinschaft bezüglich der bisher umgesetzten Sanierungsmaßnahmen und Sicherheitsverbesserungen aufrechtzuerhalten.
Abgeschlossene Sanierungsmaßnahmen
Die folgenden Maßnahmen wurden implementiert und auf alle anwendbaren Systeme und Geräte ausgerollt. Updates werden automatisch bereitgestellt, sobald die Geräte mit dem Internet verbunden sind, und Kunden müssen keine manuellen Schritte unternehmen, um sie zu erhalten. Der Update-Prozess kann je nach Netzwerkbedingungen und Gerätestatus etwa 30 Minuten dauern.
1. Rotation und Ersatz historischer Root-Anmeldeinformationen des Geräts
-
Historische Root-Anmeldeinformationen auf Flottenebene, die zuvor mit alten Wartungsworkflows verbunden waren, wurden ausgemustert.
-
Im Rahmen des Sanierungsprozesses wurden Ersatz-Anmeldeinformationen generiert und bereitgestellt.
-
Alte Anmeldeinformationen wurden ungültig gemacht und werden in aktuellen Bereitstellungen oder Bereitstellungsworkflows nicht mehr verwendet.
2. Widerruf historischer FRP-Fernzugriffsdaten
-
Historische gemeinsame Anmeldeinformationen, die mit früheren FRP-basierten Remote-Support-Workflows verbunden waren, wurden widerrufen und gelöscht.
-
Zugehörige FRP-serverseitige Verbindungspfade und Konfigurationen wurden deaktiviert.
-
Infolgedessen können zuvor identifizierte alte FRP-Anmeldeinformationen nicht mehr verwendet werden, um Remote-Reverse-SSH-Verbindungen herzustellen.
3. Entfernung statischer Zugangsmechanismen aus der mobilen Anwendung
-
Aktualisierte Versionen der Yarbo Mobile-Anwendung enthalten keine statischen Anmeldeinformationen oder eingebetteten Zugriffsmechanismen mehr, die in der Lage sind, sich direkt bei Backend-Diensten zu authentifizieren.
4. Entfernung unnötiger Skripte, alter Abhängigkeiten und nicht wesentlicher Netzwerkkonfigurationen
-
Berichtsskripte und Telemetriekomponenten, die keine notwendige Betriebs- oder Produktfunktion mehr erfüllten, wurden aus den Firmware-Builds entfernt.
-
Alte Cloud-Service-Abhängigkeiten, die nicht mehr mit aktiver Produktfunktionalität verbunden waren, wurden ausgemustert.
-
Nicht wesentliche Drittanbieter-Proxy-Pfade und Fallback-DNS-bezogene Konfigurationen wurden offline genommen oder aus aktiven Bereitstellungsumgebungen entfernt.
Sanierung im Gange
Die folgende Initiative wird derzeit aktiv entwickelt und in einem späteren Update bereitgestellt:
Wir bauen unser Anmeldeinformationsverwaltungssystem neu auf, um alle verbleibenden Modelle mit gemeinsamen Anmeldeinformationen durch individuell abgestimmte, gerätespezifische Anmeldeinformationen zu ersetzen. Jede Anmeldeinformation unterstützt die unabhängige Rotation und den Widerruf, wodurch sichergestellt wird, dass die Kompromittierung eines einzelnen Geräts die breitere Flotte nicht beeinträchtigt.
Diese Arbeit soll dazu beitragen, umfassende Systemexpositionsszenarien zu verhindern, die aus der Kompromittierung eines einzelnen Geräts oder Satzes von Anmeldeinformationen resultieren.
Weitere Sanierungs- und Sicherheitshärtungs-Updates werden weiterhin über das Yarbo Security Center veröffentlicht, sobald die entsprechende Arbeit voranschreitet.
Yarbo Sicherheitsteam
{"0":"*0+ct"} |
|
{"numToAttrib":{"0":["author","7521569960852848643"]},"nextNum":1} |
},"folded":false,"parent_id":"R3GXdKSqfol4BaxsFZCcroR6nRd","locked":false,"hidden":false,"align":"left"}}
| Nach der Implementierung wird der Remote-Diagnosezugriff auf autorisiertes internes Unternehmenspersonal beschränkt sein, darf nur nach Einholung einer Benutzerautorisierung verwendet werden und wird schrittweise in die Audit-Protokollierung integriert."}Ich räume auch ein, dass unsere anfängliche Reaktion die Ernsthaftigkeit der von ihm aufgezeigten Probleme nicht angemessen widerspiegelte.
Als Mitbegründer bin ich für das verantwortlich, was auf unseren Produkten ausgeliefert wurde, und ich bin für die Reaktion verantwortlich."},"attribs":{"0":"*0|2+dq*0+2u"}},"apool":{"numToAttrib":{"0":["author","7521569960852848643"]},"nextNum":1}},"folded":false,"parent_id":"R3GXdKSqfol4BaxsFZCcroR6nRd","locked":false,"hidden":false,"align":""}},"R3GXdKSqfol4BaxsFZCcroR6nRd":{"id":"R3GXdKSqfol4BaxsFZCcroR6nRd","snapshot":{"type":"page","parent_id":"","comments":[],"revisions":[],"locked":false,"hidden":false,"author":"7521569960852848643","children":["OIuBdckncoMRipxRSVOcYXManxf","TUjldfirdoUYjbx9yAKcpyrbnge","KR9ddjwiyozf97x0fwpcmkmensf","Q2FYdIaqToaFaPxgq7ycmIZAnZe","O33Kdmx7yorZbGxE6jCcEniZnle","Pk4sdTgKXoOkGYx1caYcDubRnmg","M2dxdNtQioTNoTxueYqczthfnGx","P7XJdAb9noBP6Mx9KfdcC44onvc","VwsmdTC3RoHo07xigUgcRTiunrh","X3Xpdtuy9oO7yGxUgeNcxKSnnlf","Aq0xdUTcloYnZcxmquGc1IJYnph","DyiwdP8mboS2SXxkhzacQ9Svnue","PWAidMU28oSKmkxQxbtceV3nnIb","ZamCduOzGou2W8xm3ILczYkKnC6","VDMHdKxTiolrV7xadEKcZDovnmf","JhOxdwBDso8dEPxU8UbcEw6inhb","Fzzrd6ubso0jwNxjON7cHZnOnih","SPCWdHB7ModuZAxcSHJcRiJ9nse","MMVMdALRCo52mAx6nQCcr7gUnFh","TUj1dhyW8oQA6Hxxx1KcLiVxnge","VWhgdWbamoCVnfxAocrccdC6nVd","XSmydYY25oEJytx7nVYcqfK6nVg","Y5zRdPh2qoWVFHx1MBVcZaxfnPl","DQNEdLLNjoiEg6xyXXsce2SWnCd","RITudSF9vo9y6WxQGuOcSWiSnnh","WMzYdsIgno97uAxHRLGcOFqLnhd","SSgTduSmEouzbOxHr2Ec6nCxnWg","PtjQdZokFopiRLxQ3WZclrGZnfg","K6I6dEBwkoU6Mjxvj4FcmBP8nWd","YJEadVgnGovUo4xedyXc4qDDnkf","WP24dgfCDoLlMFxKsNtcVzYLnhf","V1CVdnUBHovpptxUa8wceGFrnwf","T9rSdIzaAoibFBx2mRicFrWCnEh","YtN3dY6fMouadsxdPR3cygtln6g","NvU8dxFqno6xlMxE8rrcOiTznLg","IpMod1yQZofKWMxSJXIcj6yYnLh","EFlYdMr6HobAeIxzL2ncEEAznOe","UP1JdKFxjoeEI3xXl0RcIJOwnkt","Gy1VdQkMHoUkx7xHfNTciYgynCM","ZFEWd17U0omfbgxZFJkcC5rZnYd","FTgzdHhMboO5eOxBPAtc8YSdnxd","F9crdTal2oTIlGxgU27csMCpn9e","WZQhdrgsZoXOMvxAyFUcvdV4nKc","FqWsdtH2zoysqtxF1AhcN3DPnpz","CmbkdJW4so8zXBxcvFxcoaxsnNd","H6TjdlPJ4oeSa6xMd1QcKO98nGe","BYzQds7C5oWdrsxyz1CcjTKQnSc","IJGXdNa3poCuO3xu0RucmTWSnae"],"text":{"apool":{"nextNum":0,"numToAttrib":{}},"initialAttributedTexts":{"attribs":{"0":""},"text":{"0":""}}},"align":"","doc_info":{"editors":["7521569960852848643"],"options":["editors","edit_time"],"deleted_editors":null,"option_modified":null}}}},"payloadMap":{"TUjldfirdoUYjbx9yAKcpyrbnge":{"level":1},"KR9ddjwiyozf97x0fwpcmkmensf":{"level":1},"Q2FYdIaqToaFaPxgq7ycmIZAnZe":{"level":1},"O33Kdmx7yorZbGxE6jCcEniZnle":{"level":1},"Pk4sdTgKXoOkGYx1caYcDubRnmg":{"level":1},"M2dxdNtQioTNoTxueYqczthfnGx":{"level":1},"P7XJdAb9noBP6Mx9KfdcC44onvc":{"level":1},"X3Xpdtuy9oO7yGxUgeNcxKSnnlf":{"level":1},"Aq0xdUTcloYnZcxmquGc1IJYnph":{"level":1},"JhOxdwBDso8dEPxU8UbcEw6inhb":{"level":1},"Y5zRdPh2qoWVFHx1MBVcZaxfnPl":{"level":1},"RITudSF9vo9y6WxQGuOcSWiSnnh":{"level":1},"SSgTduSmEouzbOxHr2Ec6nCxnWg":{"level":1},"PtjQdZokFopiRLxQ3WZclrGZnfg":{"level":1},"K6I6dEBwkoU6Mjxvj4FcmBP8nWd":{"level":1},"WP24dgfCDoLlMFxKsNtcVzYLnhf":{"level":1},"V1CVdnUBHovpptxUa8wceGFrnwf":{"level":1},"T9rSdIzaAoibFBx2mRicFrWCnEh":{"level":1},"YtN3dY6fMouadsxdPR3cygtln6g":{"level":1},"NvU8dxFqno6xlMxE8rrcOiTznLg":{"level":1},"IpMod1yQZofKWMxSJXIcj6yYnLh":{"level":1},"EFlYdMr6HobAeIxzL2ncEEAznOe":{"level":1},"UP1JdKFxjoeEI3xXl0RcIJOwnkt":{"level":1},"Gy1VdQkMHoUkx7xHfNTciYgynCM":{"level":1},"FTgzdHhMboO5eOxBPAtc8YSdnxd":{"level":1},"F9crdTal2oTIlGxgU27csMCpn9e":{"level":1},"WZQhdrgsZoXOMvxAyFUcvdV4nKc":{"level":1},"FqWsdtH2zoysqtxF1AhcN3DPnpz":{"level":1},"CmbkdJW4so8zXBxcvFxcoaxsnNd":{"level":1},"H6TjdlPJ4oeSa6xMd1QcKO98nGe":{"level":1},"BYzQds7C5oWdrsxyz1CcjTKQnSc":{"level":1}},"extra":{"channel":"saas","pasteRandomId":"29894d6d-290f-4c03-bc1d-52a7bc0e7a49","mention_page_title":{},"external_mention_url":{},"isEqualBlockSelection":true},"isKeepQuoteContainer":false,"selection":[{"id":3,"type":"text","selection":{"start":0,"end":129},"recordId":"TUjldfirdoUYjbx9yAKcpyrbnge"},{"id":128,"type":"text","selection":{"start":0,"end":596},"recordId":"KR9ddjwiyozf97x0fwpcmkmensf"},{"id":127,"type":"text","selection":{"start":0,"end":280},"recordId":"Q2FYdIaqToaFaPxgq7ycmIZAnZe"},{"id":126,"type":"text","selection":{"start":0,"end":174},"recordId":"O33Kdmx7yorZbGxE6jCcEniZnle"},{"id":125,"type":"text","selection":{"start":0,"end":255},"recordId":"Pk4sdTgKXoOkGYx1caYcDubRnmg"},{"id":124,"type":"text","selection":{"start":0,"end":188},"recordId":"M2dxdNtQioTNoTxueYqczthfnGx"},{"id":123,"type":"text","selection":{"start":0,"end":270},"recordId":"P7XJdAb9noBP6Mx9KfdcC44onvc"},{"id":122,"type":"text","selection":{"start":0,"end":52},"recordId":"VwsmdTC3RoHo07xigUgcRTiunrh"},{"id":121,"type":"text","selection":{"start":0,"end":282},"recordId":"X3Xpdtuy9oO7yGxUgeNcxKSnnlf"},{"id":120,"type":{"start":0,"end":25},"recordId":"Aq0xdUTcloYnZcxmquGc1IJYnph"},{"id":119,"type":"text","selection":{"start":0,"end":110},"recordId":"DyiwdP8mboS2SXxkhzacQ9Svnue"},{"id":118,"type":"text","selection":{"start":0,"end":153},"recordId":"PWAidMU28oSKmkxQxbtceV3nnIb"},{"id":117,"type":"text","selection":{"start":0,"end":90},"recordId":"ZamCduOzGou2W8xm3ILczYkKnC6"},{"id":116,"type":"text","selection":{"start":0,"end":90},"recordId":"VDMHdKxTiolrV7xadEKcZDovnmf"},{"id":115,"type":"text","selection":{"start":0,"end":26},"recordId":"JhOxdwBDso8dEPxU8UbcEw6inhb"},{"id":114,"type":"text","selection":{"start":0,"end":369},"recordId":"Fzzrd6ubso0jwNxjON7cHZnOnih"},{"id":113,"type":"text","selection":{"start":0,"end":297},"recordId":"SPCWdHB7ModuZAxcSHJcRiJ9nse"},{"id":112,"type":"text","selection":{"start":0,"end":312},"recordId":"MMVMdALRCo52mAx6nQCcr7gUnFh"},{"id":111,"type":"text","selection":{"start":0,"end":145},"recordId":"TUj1dhyW8oQA6Hxxx1KcLiVxnge"},{"id":110,"type":"text","selection":{"start":0,"end":166},"recordId":"VWhgdWbamoCVnfxAocrccdC6nVd"},{"id":109,"type":"text","selection":{"start":0,"end":342},"recordId":"XSmydYY25oEJytx7nVYcqfK6nVg"},{"id":108,"type":"text","selection":{"start":0,"end":124},"recordId":"Y5zRdPh2qoWVFHx1MBVcZaxfnPl"},{"id":107,"type":"text","selection":{"start":0,"end":11},"recordId":"DQNEdLLNjoiEg6xyXXsce2SWnCd"},{"id":106,"type":"text","selection":{"start":0,"end":599},"recordId":"RITudSF9vo9y6WxQGuOcSWiSnnh"},{"id":105,"type":"text","selection":{"start":0,"end":29},"recordId":"WMzYdsIgno97uAxHRLGcOFqLnhd"},{"id":104,"type":"text","selection":{"start":0,"end":196},"recordId":"SSgTduSmEouzbOxHr2Ec6nCxnWg"},{"id":103,"type":"text","selection":{"start":0,"end":286},"recordId":"PtjQdZokFopiRLxQ3WZclrGZnfg"},{"id":102,"type":"text","selection":{"start":0,"end":297},"recordId":"K6I6dEBwkoU6Mjxvj4FcmBP8nWd"},{"id":101,"type":"text","selection":{"start":0,"end":47},"recordId":"YJEadVgnGovUo4xedyXc4qDDnkf"},{"id":100,"type":"text","selection":{"start":0,"end":219},"recordId":"WP24dgfCDoLlMFxKsNtcVzYLnhf"},{"id":99,"type":"text","selection":{"start":0,"end":32},"recordId":"V1CVdnUBHovpptxUa8wceGFrnwf"},{"id":98,"type":"text","selection":{"start":0,"end":461},"recordId":"T9rSdIzaAoibFBx2mRicFrWCnEh"},{"id":97,"type":"text","selection":{"start":0,"end":33},"recordId":"YtN3dY6fMouadsxdPR3cygtln6g"},{"id":96,"type":"text","selection":{"start":0,"end":321},"recordId":"NvU8dxFqno6xlMxE8rrcOiTznLg"},{"id":95,"type":"text","selection":{"start":0,"end":282},"recordId":"IpMod1yQZofKWMxSJXIcj6yYnLh"},{"id":94,"type":"text","selection":{"start":0,"end":43},"recordId":"EFlYdMr6HobAeIxzL2ncEEAznOe"},{"id":93,"type":"text","selection":{"start":0,"end":302},"recordId":"UP1JdKFxjoeEI3xXl0RcIJOwnkt"},{"id":92,"type":"text","selection":{"start":0,"end":284},"recordId":"Gy1VdQkMHoUkx7xHfNTciYgynCM"},{"id":91,"type":"text","selection":{"start":0,"end":19},"recordId":"ZFEWd17U0omfbgxZFJkcC5rZnYd"},{"id":90,"type":"text","selection":{"start":0,"end":182},"recordId":"FTgzdHhMboO5eOxBPAtc8YSdnxd"},{"id":89,"type":"text","selection":{"start":0,"end":18},"recordId":"F9crdTal2oTIlGxgU27csMCpn9e"},{"id":88,"type":"text","selection":{"start":0,"end":156},"recordId":"WZQhdrgsZoXOMvxAyFUcvdV4nKc"},{"id":87,"type":"text","selection":{"start":0,"end":136},"recordId":"FqWsdtH2zoysqtxF1AhcN3DPnpz"},{"id":86,"type":"text","selection":{"start":0,"end":211},"recordId":"CmbkdJW4so8zXBxcvFxcoaxsnNd"},{"id":85,"type":"text","selection":{"start":0,"end":109},"recordId":"H6TjdlPJ4oeSa6xMd1QcKO98nGe"},{"id":52,"type":"text","selection":{"start":0,"end":43},"recordId":"BYzQds7C5oWdrsxyz1CcjTKQnSc"}],"pasteFlag":"6d735acf-10e3-457e-a7f2-cf65c00f0cdb"}">
Direkt zum Inhalt
Private group · 33.0K members
