Luki w zabezpieczeniach bramy IoT YoLink o wartości 20 dolarów zagrażają bezpieczeństwu domu

Badacze cyberbezpieczeństwa z Bishop Fox ujawnili luki w zabezpieczeniach popularnego i niedrogiego urządzenia YoLink Smart Hub (v0382 ), które narażają użytkowników na ataki ze strony zdalnych hakerów. Urządzenie, które kosztuje zaledwie 20 dolarów, pełni funkcję centralnej bramy zarządzającej wszystkimi podłączonymi inteligentnymi zamkami, czujnikami i wtyczkami. Luki te, ujawnione dziś publicznie i monitorowane pod kątem czterech oddzielnych luk CVE, pokazują ryzyko związane z podłączaniem tanich urządzeń do naszych domów.

Rozpoczynając prace „na początku tego roku”, badacze odkryli wiele luk typu zero-day (błędów wcześniej nieznanych i niezałatanych). Przeprowadzili fizyczną analizę urządzenia, zauważając, że korzystało ono ze wspólnego układu SoC ESP32. Pozwoliło im to na natychmiastową analizę jego działania.

Jako centralny punkt całego systemu YoLink, hub pełni funkcję pojedynczego punktu sterowania. Komunikuje się z aplikacją mobilną za pomocą protokołu MQTT i rozsyła wiadomości do urządzeń za pomocą unikalnej technologii radiowej o nazwie LoRa lub LoRaWAN . Naukowcy odkryli, że ta złożona ścieżka komunikacyjna była wadliwa.

Jednym z najpoważniejszych problemów jest „obejście autoryzacji”, śledzone jako CVE-2025-59449 i CVE-2025-59452 (Niewystarczające mechanizmy kontroli autoryzacji). Najpoważniejszy z nich, CVE-2025-59449, oznaczony jako krytyczny, oznacza, że ​​system nie weryfikuje prawidłowo tożsamości użytkownika przed udzieleniem dostępu.

Ta luka pozwala hakerowi, który uzyskuje przewidywalne identyfikatory urządzeń, zdalnie sterować urządzeniami należącymi do innych użytkowników YoLink. Podczas dochodzenia naukowcy potwierdzili możliwość obsługi inteligentnego zamka w domu innego użytkownika.

Oprócz luki w dostępie, odkryto dwa kolejne krytyczne problemy. Urządzenie wysyła poufne dane, w tym dane uwierzytelniające i hasła Wi-Fi, bez żadnej ochrony, co jest śledzone jako CVE-2025-59448 (Niebezpieczna transmisja sieciowa).

Ta niezaszyfrowana komunikacja MQTT ujawnia dane w postaci jawnego tekstu, co czyni je łatwymi do kradzieży. Ponadto luki w zabezpieczeniach sesji (CVE-2025-59451: Niewłaściwe zarządzanie sesjami) oznaczają, że atakujący, który uzyska dostęp, może zachować nieautoryzowaną kontrolę przez długi czas.

Konsekwencje są poważne dla każdego użytkownika koncentratora v0382. Ponieważ urządzenie steruje punktami wejścia do domu, takimi jak inteligentne zamki i otwieracze bram garażowych, cyberprzestępca mógłby potencjalnie „uzyskać fizyczny dostęp do domów klientów YoLink”, wyjaśnił zespół badawczy Bishop Fox w technicznymwpisie na blogu , udostępnionym Hackread.com przed jego publikacją.

Badania te narażają obecnie wielu użytkowników na ryzyko, ponieważ producent, YoSmart, nie udostępnił jeszcze poprawki ani rozwiązania problemu. Do czasu wydania poprawki zaleca się użytkownikom traktowanie koncentratora jako niebezpiecznego. Zaleca się odłączenie go od kluczowych sieci domowych, unikanie używania go do kontroli dostępu fizycznego do domu oraz rozważenie przejścia na dostawcę oferującego regularne aktualizacje zabezpieczeń.