Sean Hollister von The Verge legt sich vor einen 200-Pfund-Mäher der Marke Yarbo. Andreas Makris sitzt in Deutschland, gut 9.000 Kilometer entfernt, und steuert das Gerät über seinen Laptop. Das ist keine Szene aus einem Hacker-Roman, sondern die Demo zu einer Yarbo Sicherheitslücke, die Makris am 7. Mai 2026 öffentlich gemacht hat. Yarbo hat die Funde wenige Tage später selbst bestätigt.
Was Makris gefunden hat, ist schlecht. Was Yarbos Support davor gesagt hat, ist noch schlechter.
Wie Makris den Mäher übernommen hat
Im technischen Write-up auf GitHub dokumentiert Makris drei eingetragene CVEs (Common Vulnerabilities and Exposures, also offizielle Nummern in der Sicherheitslücken-Datenbank): CVE-2026-7413, -7414 und -7415. Der Kern ist ein FRP-Backdoor (Fast Reverse Proxy, ein Werkzeug, mit dem ein Gerät hinter einem Router von außen erreichbar bleibt), der dauerhaft mit Yarbos Servern spricht. Dazu ein hardcodiertes Root-Passwort, hy@0886!#, das auf jedem Yarbo-Gerät gleich ist. Und ein MQTT-Broker (Nachrichtendienst, über den Smart-Home-Geräte miteinander reden) auf Port 1883, der keine Authentifizierung verlangt.
Wer einen Yarbo im Internet findet, kann sich mit dem immer gleichen Passwort anmelden und über den offenen MQTT-Broker den Mäher fahren lassen. Makris konnte über denselben Weg GPS-Positionen einsehen, WLAN-Passwörter im Klartext auslesen und Live-Kamerabilder abrufen. Die E-Mail-Adressen der jeweiligen Käufer hingen mit dran. Laut The Verge waren weltweit über 11.000 Yarbo-Geräte sichtbar oder direkt betroffen.
Yarbos Support nannte den Backdoor erst „harmlos“
Makris hat die Lücken zuerst an Yarbo gemeldet. Die Antwort des Supports laut seinem Write-up: harmless diagnostic tool, also ein harmloses Werkzeug zur Ferndiagnose. Erst nachdem die Veröffentlichung ohne koordinierte Frist auf GitHub und im Verge-Bericht stand, hat sich Yarbo offiziell bewegt. Das erklärt einen Teil der Lautstärke, mit der die Geschichte gerade durchläuft. Wer Sicherheitsforschern sagt, ihre Funde seien harmlos, bekommt am Ende keine koordinierte Veröffentlichung mehr.
„Legacy support“ als Vokabel für „Sicherheit war keine Priorität“
In der offiziellen Stellungnahme schreibt Yarbo, dass certain legacy support and maintenance capabilities did not provide users with sufficient visibility or control. Übersetzt: ältere Wartungs- und Diagnose-Funktionen gaben den Käufern weder Einsicht noch Kontrolle. Die Fernzugänge sind vorübergehend abgeschaltet, ein Firmware-Patch wird per OTA (Over-the-Air, direkt über die Internet-Verbindung) verteilt. Gerätespezifische Zugangsdaten sollen folgen. Ein Bug-Bounty-Programm wird laut Yarbo „geprüft“, noch nicht zugesagt. Wer mit Sicherheits-Hinweisen direkt an die Firma will, schreibt an [email protected].
„Legacy“ ist die freundlichste Vokabel, die ein Hersteller in so einer Lage benutzen kann. Sie steht meistens dafür, dass Sicherheit in der Produktphase keine Priorität hatte und niemand mehr genau weiß, warum bestimmte Backdoors überhaupt eingebaut wurden. Wer das anders nennt, sagt zu viel.
Was die Yarbo Sicherheitslücke für andere Cloud-Mähroboter heißt
Die Yarbo Sicherheitslücke ist kein Einzelfall im Sinne von „seltenes Versagen“. Sie ist ein Einzelfall im Sinne von „diesmal hat es jemand öffentlich gemacht“. Wer sich mit den Folgekosten am Mähroboter-Markt 2026 beschäftigt, weiß: Fast jeder ambitionierte Mäher hängt an einer Cloud. Und die meisten Hersteller haben kein öffentliches Programm, über das Sicherheitsforscher Lücken melden können.
Eine kurze Bestandsaufnahme. Roborock, dessen neue Mähroboter-Linie seit Mai 2026 läuft, hat eine offizielle Vulnerability Disclosure Policy, also einen festen Meldeweg für externe Forscher. iRobot betreibt ein öffentliches Bug-Bounty-Programm. Bei Ecovacs, Dreame, Mammotion, Husqvarna und Eufy war in der Recherche kein öffentliches Programm auffindbar. Yarbo prüft gerade eines. Das ist der Stand 2026.
Wenn du einen Yarbo hast
In Deutschland läuft Yarbo praktisch nur über mybotshop.de in Bonn. Die Module sind nicht günstig: ein Yarbo Body mit M1-Mähmodul kostet 6.976 Euro, mit zusätzlichem S1-Schneefräs-Modul 9.256 Euro. Wer das gekauft hat, sollte jetzt drei Dinge machen. Erstens das Gerät online lassen, damit der angekündigte OTA-Patch ankommt. Yarbo nennt in der Mitteilung keine konkrete „sichere“ Firmware-Version, die jüngste dokumentierte Release ist V3.12.0 mit App-Version V3.17.4. Ob das schon der Patch ist, sagt der Hersteller nicht. Zweitens das WLAN-Passwort wechseln, weil Makris zeigt, dass es auf den Geräten im Klartext lag. Drittens den App-Zugang prüfen und im Zweifel über [email protected] resetten lassen.
Wer den Mäher zusätzlich lokal über die Community-Integration in Home Assistant nutzt, sollte einen Punkt im Hinterkopf haben: Die Anbindung greift auf den lokalen MQTT-Broker auf Port 1883 zu, also genau den, den Makris als unauthentifiziert beschreibt. Diese Tür ist im lokalen Netz nicht zu, sondern offen. Im eigenen Heimnetz vielleicht zu verkraften, an einem schlecht abgesicherten Gast-WLAN sicher nicht.
Mähroboter sind das einzige Smart-Home-Gerät, das im Garten herumfährt und Klingen unter sich hat. Eine Steckdose, die jemand aus der Ferne schaltet, ist ärgerlich. Ein schwerer Mäher, den jemand aus Deutschland heraus in einem fremden Vorgarten lenkt, ist eine andere Kategorie. Yarbo hat reagiert, das gehört in den Artikel. Aber „legacy“ ist eine zu bequeme Vokabel für einen hardcodierten Root-Zugang, der in einem Gerät für 7.000 Euro aufwärts nichts zu suchen hat. Wer 2026 einen Cloud-Mäher kauft, kauft mit, dass solche Geschichten passieren. Entscheiden lässt sich nur, welche Marke einen öffentlichen Meldeweg hat und welche nicht.
