CVE-2026-10557

Nome do Software Vulnerável e Versões Afetadas Aplicações Yarbo para Android e iOS (versões afetadas não especificadas)

Descrição As aplicações para Android e iOS contêm credenciais de broker MQTT codificadas (hard-coded) que são idênticas para todos os usuários e dispositivos. Essas credenciais, incorporadas no binário da aplicação, podem ser extraídas através da descompilação do APK. Isso permite o acesso não autorizado a brokers MQTT na nuvem que processam a telemetria em tempo real de toda a frota global de robôs. Um invasor pode usar essas credenciais para realizar inscrições com curingas (wildcard subscriptions) em todos os tópicos de telemetria dos robôs ou publicar mensagens no tópico de comando de qualquer robô utilizando apenas o número de série do dispositivo.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.