Vulnerabilidade no YoLink IoT Gateway expõe segurança residencial

São Paulo — InkDesign News — Pesquisadores em segurança cibernética da Bishop Fox revelaram vulnerabilidades que afetam o popular hub inteligente YoLink (v0382), expondo usuários a possíveis ataques remotos. O dispositivo, vendido por cerca de US$ 20, atua como um ponto central para gerenciar fechaduras, sensores e tomadas conectadas.

Incidente e vulnerabilidade

No início de 2023, a equipe fez uma análise física do YoLink Smart Hub, identificando múltiplas vulnerabilidades de zero-day. O hub utiliza um chip ESP32, o que facilitou o exame de sua arquitetura interna. Um dos problemas mais graves detectados foi um ‘bypass de autorização’, identificado como CVE-2025-59449, que permite que hackers, ao conhecerem IDs de dispositivos previsíveis, assumam o controle de dispositivos de outros usuários do YoLink.

Essa falha de autorização permite que um invasor controle fechaduras inteligentes na casa de outro usuário.
(“This authorization flaw allows a hacker who obtains predictable device IDs to remotely control devices belonging to other YoLink users.”)

— Bishop Fox Research Team

Além desse problema, outro ponto crítico mencionado foi o envio de dados sensíveis sem proteção adequada, rastreado como CVE-2025-59448 (Transmissão de Rede Insegura). Os dados, incluindo credenciais e senhas de Wi-Fi, são transmitidos em texto claro por meio de comunicação MQTT não criptografada, tornando-os vulneráveis a interceptações. A falha na gestão de sessões, identificada como CVE-2025-59451, permite que invasores mantenham o controle não autorizado por tempo prolongado.

Impacto e resposta

As implicações são severas para os usuários do hub v0382, uma vez que ele controla pontos de entrada em residências, como fechaduras inteligentes e aberturas de garagens. Segundo a equipe de pesquisa da Bishop Fox, a exploração dessas vulnerabilidades poderia “proporcionar acesso físico às casas dos clientes do YoLink”. Até o momento da divulgação, o fabricante, YoSmart, não havia disponibilizado um patch ou correção. A ausência de medidas corretivas deixa um número significativo de usuários expostos a possíveis abusos.

Mitigações recomendadas

Com a falta de um patch, recomenda-se que usuários desconectem o hub de redes essenciais, evitando seu uso para o controle de acessos físicos à residência. Considerar a troca por um fornecedor que ofereça atualizações de segurança regulares também é aconselhável. A proteção adicional pode incluir a revisão e fortalecimento de configurações de segurança da rede e o uso de dispositivos com protocolos de comunicação mais seguros.

Os usuários devem tratar o hub como inseguro até novas instruções do fabricante.
(“Until a patch is released, users are advised to treat the hub as unsafe.”)

— Bishop Fox Research Team

Embora as vulnerabilidades sejam preocupantes, a conscientização sobre essas falhas oferece uma oportunidade para reavaliar as práticas de segurança e a resistência dos dispositivos inteligentes em nossas casas. Riscos residuais permanecem até que todas as medidas corretivas sejam implementadas e patches disponíveis sejam aplicados.

Fonte: (Hack Read – Segurança Cibernética)