Kwetsbaarheden in YoLink IoT-gateway van $ 20 brengen de beveiliging van uw huis in gevaar
Cybersecurityonderzoekers van Bishop Fox hebben beveiligingslekken ontdekt in de populaire, goedkope YoLink Smart Hub (v0382 ), waardoor gebruikers kwetsbaar zijn voor externe aanvallers. De hub, die slechts $20 kost, fungeert als een centrale gateway die alle aangesloten slimme sloten, sensoren en stekkers beheert. Deze kwetsbaarheden, die vandaag openbaar zijn gemaakt en worden bijgehouden in vier afzonderlijke CVE's, tonen de risico's aan die gepaard gaan met het aansluiten van goedkope apparaten op onze huizen.
Onderzoekers begonnen hun werk "eerder dit jaar" en ontdekten meerdere zero-day kwetsbaarheden (fouten die voorheen onbekend en ongepatcht waren). Ze onderzochten het apparaat fysiek en merkten op dat het een standaard ESP32 System-on-Chip gebruikte. Dit stelde hen in staat om de interne werking ervan direct te analyseren.
Als centraal punt voor het gehele YoLink-systeem fungeert de hub als één centraal controlepunt. Hij communiceert met uw mobiele app via het MQTT-protocol en distribueert berichten naar apparaten met behulp van een unieke radiotechnologie genaamd LoRa of LoRaWAN . Dit complexe communicatiepad bleek gebrekkig, ontdekten onderzoekers.
Een van de ernstigste problemen is een 'autorisatie-bypass', geregistreerd als CVE-2025-59449 en CVE-2025-59452 (onvoldoende autorisatiecontroles). De ernstigste hiervan, CVE-2025-59449, is als kritiek beoordeeld en houdt in dat het systeem de identiteit van een gebruiker niet goed verifieert voordat toegang wordt verleend.
Deze kwetsbaarheid stelt een hacker die voorspelbare apparaat-ID's verkrijgt in staat om op afstand apparaten van andere YoLink-gebruikers te bedienen. Tijdens het onderzoek bevestigden onderzoekers de mogelijkheid om een slim slot in het huis van een andere gebruiker te bedienen.
Naast het toegangslek werden er nog twee kritieke problemen ontdekt. Het apparaat verstuurt vertrouwelijke gegevens, waaronder inloggegevens en wifi-wachtwoorden, zonder enige beveiliging, geregistreerd als CVE-2025-59448 (Onveilige netwerkoverdracht).
Deze ongecodeerde MQTT-communicatie stelt de gegevens bloot in duidelijke, platte tekst, waardoor ze gemakkelijk te stelen zijn. Bovendien zorgen sessiefouten (CVE-2025-59451: Onjuist sessiebeheer) ervoor dat een aanvaller die toegang krijgt, die ongeautoriseerde controle lange tijd kan behouden.
De gevolgen zijn ernstig voor iedereen die de v0382 hub gebruikt. Omdat het apparaat toegangspunten voor woningen zoals slimme sloten en garagedeuropeners bestuurt, zou een kwaadwillende persoon mogelijk "fysieke toegang kunnen krijgen tot de huizen van YoLink-klanten", legde het onderzoeksteam van Bishop Fox uit in de technischeblogpost , die vóór publicatie werd gedeeld met Hackread.com.
Dit onderzoek maakt een groot aantal gebruikers momenteel kwetsbaar, omdat de fabrikant, YoSmart, nog geen patch of oplossing heeft uitgebracht. Totdat er een patch is, wordt gebruikers geadviseerd de hub als onveilig te behandelen. Het is raadzaam om de hub los te koppelen van essentiële thuisnetwerken, hem niet te gebruiken voor alles wat de fysieke toegang tot de woning regelt en te overwegen over te stappen naar een leverancier die regelmatig beveiligingsupdates aanbiedt.
HackRead
