.png)
há 1 semana
12
Pesquisadores da Bishop Fox publicaram hoje a descoberta de quatro vulnerabilidades críticas no YoLink Smart Hub v0382, um gateway IoT de baixo custo ($20) que gerencia fechaduras inteligentes, sensores e tomadas. As falhas permitem que atacantes remotos obtenham controle dos dispositivos e, em casos extremos, acesso físico às residências dos usuários.
Leia também
Após incidente, 50% das recuperações falham
ISACA aponta queda no treinamento de profissionais para cibersegurança
O estudo detalha que o hub utiliza o chip ESP32 e comunica-se com o aplicativo móvel via protocolo MQTT, distribuindo mensagens aos dispositivos por meio da tecnologia LoRa/LoRaWAN. Entre as vulnerabilidades identificadas estão dois casos de bypass de autorização (CVE-2025-59449 e CVE-2025-59452), que permitem que usuários mal-intencionados com IDs previsíveis de dispositivos controlem equipamentos de outros usuários, incluindo fechaduras. Outra falha (CVE-2025-59448) envolve transmissão insegura de credenciais e senhas Wi-Fi em texto claro, enquanto uma vulnerabilidade de gerenciamento de sessão (CVE-2025-59451) possibilita que o invasor mantenha acesso não autorizado por longos períodos.
As implicações são graves, pois o hub atua como ponto central para o controle de dispositivos que regulam a segurança doméstica. Até o momento, o fabricante YoSmart não publicou correção ou atualização de segurança.
Até que um patch seja disponibilizado, os pesquisadores recomendam tratar o dispositivo como inseguro: desconectar da rede principal, evitar o uso para controlar pontos de acesso físico e considerar a substituição por fornecedores que ofereçam atualizações de segurança regulares.
English (US) · 
Portuguese (BR) ·