Le vulnerabilità del gateway IoT YoLink da $ 20 mettono a rischio la sicurezza domestica
I ricercatori di sicurezza informatica di Bishop Fox hanno rivelato vulnerabilità di sicurezza nel popolare ed economico YoLink Smart Hub (v0382 ), esponendo gli utenti ad attacchi remoti. L'hub, che costa solo 20 dollari, funge da gateway centrale che gestisce tutte le serrature, i sensori e le prese intelligenti connesse. Queste vulnerabilità, rese pubbliche oggi e monitorate in quattro diverse CVE, mostrano i rischi connessi alla connessione di dispositivi a basso costo alle nostre case.
Iniziando il loro lavoro "all'inizio di quest'anno", i ricercatori hanno scoperto diverse vulnerabilità zero-day (difetti precedentemente sconosciuti e non corretti). Hanno esaminato fisicamente il dispositivo, notando che utilizzava un comune System-on-Chip ESP32. Questo ha permesso loro di analizzarne immediatamente il funzionamento interno.
In quanto punto centrale dell'intero sistema YoLink, l'hub funge da unico punto di controllo. Comunica con l'app mobile tramite il protocollo MQTT e distribuisce messaggi ai dispositivi tramite una tecnologia radio esclusiva chiamata LoRa o LoRaWAN . I ricercatori hanno scoperto che questo complesso percorso di comunicazione era difettoso.
Uno dei problemi più gravi è un "aggiramento dell'autorizzazione", identificato come CVE-2025-59449 e CVE-2025-59452 (Controlli di autorizzazione insufficienti). Il più grave di questi, CVE-2025-59449, classificato come critico, significa che il sistema non verifica correttamente l'identità di un utente prima di concedere l'accesso.
Questa falla consente a un hacker di ottenere ID dispositivo prevedibili di controllare da remoto i dispositivi di altri utenti YoLink. Durante le indagini, i ricercatori hanno confermato la possibilità di azionare una serratura intelligente nell'abitazione di un altro utente.
Oltre alla falla di accesso, sono stati rilevati altri due problemi critici. Il dispositivo invia dati sensibili, tra cui credenziali e password Wi-Fi, senza alcuna protezione, identificati come CVE-2025-59448 (trasmissione di rete non sicura).
Questa comunicazione MQTT non crittografata espone i dati in chiaro, rendendoli facilmente rubabili. Inoltre, i difetti di sessione (CVE-2025-59451: Gestione impropria delle sessioni) fanno sì che un aggressore che ottenga l'accesso possa mantenere tale controllo non autorizzato per lungo tempo.
Le implicazioni sono gravi per chiunque utilizzi l'hub v0382. Poiché il dispositivo controlla i punti di accesso domestici come serrature intelligenti e apriporta da garage, un malintenzionato potrebbe potenzialmente "ottenere l'accesso fisico alle case dei clienti YoLink", ha spiegato il team di ricerca di Bishop Fox nelpost del blog tecnico, condiviso con Hackread.com prima della sua pubblicazione.
Questa ricerca rende attualmente vulnerabile un gran numero di utenti, poiché il produttore, YoSmart, non ha ancora fornito una patch o una soluzione. Fino al rilascio di una patch, si consiglia agli utenti di considerare l'hub come non sicuro. Si consiglia di scollegarlo dalle reti domestiche essenziali, di evitarne l'utilizzo per qualsiasi dispositivo che controlli l'accesso fisico all'abitazione e di valutare la possibilità di passare a un fornitore che offra aggiornamenti di sicurezza regolari.
HackRead
