Jag skriver det här direkt eftersom de frågor som tagits upp i de senaste säkerhetsrapporterna måste behandlas direkt, inte som ett företag.
Den 7 maj 2026 publicerade säkerhetsforskaren Andreas Makris en detaljerad rapport som identifierar kritiska sårbarheter i Yarbos fjärrdiagnostik, autentiseringshantering och databehandlingssystem. De centrala tekniska fynden är korrekta. Jag skulle vilja tacka Andreas Makris för hans uthållighet med att identifiera dessa frågor och uppmärksamma oss på dem. Vi inser också att vårt första svar inte på ett adekvat sätt återspeglade allvaret i de problem han identifierade. Som medgrundare är jag ansvarig för vad som går in i produkten, och jag ansvarar för hur vi hanterar den.
Våra ingenjörs-, produkt-, juridiska och kundsupportteam har åtagit sig att åtgärda som en högsta prioritet. Nedan är min förklaring av vad som hittades, vad som redan har åtgärdats, vad som för närvarande åtgärdas aktivt och vad vi vill förändra i vårt sätt att arbeta framöver.
Baserat på vår preliminära granskning relaterar problemen främst till historiska designval i några av Yarbos fjärrdiagnostik, åtkomsthantering och databehandlingssystem.
Specifikt gav vissa äldre support- och underhållsfunktioner inte tillräcklig synlighet eller kontroll för användarna, och vissa mekanismer för autentisering och autentiseringshantering uppfyllde inte de säkerhetsstandarder som förväntas av dagens produkter.
Vi identifierade också områden som kräver starkare skydd och strängare kontroller i behörigheter, backend-systemkonfiguration och dataflöde mellan enheter och molntjänster.
Vi inser allvaret i dessa problem och den oro de orsakar för våra kunder och samhällen. Vi ber uppriktigt om ursäkt för den inverkan som denna situation har haft och är fast beslutna att ta itu med dessa frågor på ett öppet och ansvarsfullt sätt.
Vi stärker systemsäkerheten genom att minska traditionella åtkomstvägar, öka privilegier och gå över till fullständigt granskningsbara autentiseringsuppgifter på enhetsnivå. För att ge klarhet om saneringsframstegen skiljer vi åtgärder som redan har vidtagits från arbete som pågår för närvarande.
vad vi redan har gjort
Det vi jobbar med just nu
Som en del av denna åtgärdsprocess kommer äldre servrar och äldre åtkomstkanaler att fortsätta att fasas ut.
Vi accelererar också OTA-säkerhetsuppdateringar och ytterligare skydd på serversidan. Den första vågen av uppdateringar förväntas börja rulla ut inom en vecka. Viktigt: Uppdateringar av säkerhetsfirmware skickas till alla Yarbo-enheter. Anslut Yarbo till internet för att få den här uppdateringen. När uppdateringen har tillämpats kan du återgå till dina önskade nätverksinställningar. Om du vill hålla din enhet offline under denna tid kan du göra det utan att det påverkar din garanti eller servicetäckning. Du får ett meddelande när uppdateringar är klara, så att du enkelt kan ansluta och tillämpa dem.
Denna åtgärd är inte begränsad till en enda fix eller programuppdatering. Vi använder denna process för att stärka den långsiktiga säkerhetsarkitekturen och styrningsstandarderna bakom våra produkter.
Dessa ansträngningar inkluderar att stärka standarder för åtkomstkontroll, förbättra autentiserings- och auktoriseringsmodeller, öka användarens synlighet och kontroll över fjärrdiagnostikfunktioner och ytterligare minska onödiga äldre stödmekanismer över relaterade system och infrastruktur.
Vi kommer också att fortsätta att utöka våra interna säkerhetsgransknings-, sanerings- och styrprocesser för att stödja den långsiktiga förbättringen av vår säkerhetspraxis. Vårt mål är att säkerställa att säkerhet, transparens och användarförtroende är inbyggda i grunden för framtida Yarbo-system och tjänster.
Medan vissa artiklar i den externa rapporten beskriver faktiska säkerhetsproblem, kräver andra artiklar förtydligande eftersom de inte gäller för för närvarande levererade Yarbo-produkter eller inte representerar oberoende säkerhetsbrister.
FRP auto-omstart och persistens
Rapporten anger också att FRP-klienter kan startas om genom schemalagda uppgifter eller mekanismer för tjänståterställning. Vi förstår att detta kan göra det svårare att manuellt inaktivera fjärråtkomstkanaler, men kärnfrågan ligger i själva fjärrtunnelns existens, behörigheter och policyer. Vår sanering fokuserar på att inaktivera eller begränsa tunnlar, implementera vitlistnings- och granskningsfunktioner och ta bort onödiga beständiga fjärråtkomstvägar.
Filövervakning och självläkning
Den här rapporten nämner filövervakningsoperationer som kan återställa vissa raderade filer och tjänster. Denna mekanism designades ursprungligen som en defensiv tillförlitlighetsåtgärd för att skydda kritiska tjänstefiler från oavsiktlig radering eller korruption. Som sådan är den inte avsedd att fungera som en fjärråtkomstanläggning.
Vi inser dock att mekanismer som gör det svårt för användare att ta bort komponenter som är relaterade till fjärråtkomst kan ge upphov till tillförlitlighetsproblem. Vi överväger vilka filer som ska fortsätta att skyddas och vilka komponenter som ska tas bort, förenklas eller placeras under användarkontroll.
Historisk eller icke-produktionskonfiguration
Vissa resultat inkluderar historisk infrastruktur, äldre molntjänster, återförsäljarspecifika anpassningar eller interna testkonfigurationer. Dessa övervägs fortfarande och rensas upp vid behov, men bör särskiljas från standardbeteendet för för närvarande leveranser av produktionsenheter.
Vårt mål är att vara korrekt. Vi har inte för avsikt att tona ned säkerhetsproblemen som identifierats, men vi vill att användarna ska förstå vilka resultat som gäller för produktionsenheter, vilka resultat som endast gäller historiska eller skräddarsydda konfigurationer och vilka resultat som tas upp som en del av en bredare härdning.
Initiera en dedikerad säkerhetsresponskanal och säkerhetskontaktprocess för sårbarhetsrapportering och ansvarsfullt avslöjande för att förbättra framtida säkerhetsrapportering.
Allmänheten kan också hitta vår säkerhetskontaktinformation på sidan Yarbo Security Center i avsnittet Utforska på vår officiella webbplats.
Vi undersöker också möjligheten att etablera ett formellt program för buggstöd som en del av vårt bredare, långsiktiga säkerhetsarbete.
Vi värdesätter den roll som oberoende säkerhetsforskare spelar för att ansvarsfullt identifiera potentiella problem, och vi är fortsatt engagerade i att stärka säkerheten, transparensen och tillförlitligheten hos våra produkter.
När utrednings- och saneringsarbetet fortsätter kommer vi att tillhandahålla ytterligare uppdateringar när de blir tillgängliga.
kenneth coleman
Medgrundare, Yarbo
new york
