YoLink智能家居枢纽版本0382安全漏洞分析

漏洞概述

Bishop Fox安全团队在YoLink智能家居枢纽版本0382中发现了三个安全漏洞，最严重的漏洞是授权控制不足问题，可能使攻击者能够远程操控其他YoSmart用户的智能家居设备。此外，设备与移动应用与YoSmart MQTT代理的通信未加密，使设备容易遭受敏感数据泄露和重放攻击。

任何使用YoLink智能家居枢纽v0382的组织都会受到影响。由于该枢纽是整个生态系统的中央网关，如果枢纽被攻破，所有连接的设备都会暴露。

Bishop Fox团队确定YoLink MQTT代理未对设备控制消息实施强身份验证和授权控制，如果攻击者获取了相应的设备ID，就可以远程操作受影响的设备。由于YoLink设备ID可预测，攻击者可利用此漏洞完全控制任何其他YoLink用户的智能家居设备。

漏洞细节

Bishop Fox团队通过创建两个YoLink账户验证了此问题，第一个账户与YoLink智能枢纽和YoLink智能锁关联，然后在登录第二个账户时通过MQTT代理发布智能枢纽设备的控制消息。

Bishop Fox团队发现YoLink API未实施强身份验证和授权控制来防止未经授权访问终端用户设备凭证。攻击者可利用此漏洞收集设备凭证，并针对设备枢纽的端点执行操作，例如拦截敏感信息或传输恶意数据。

漏洞细节

Bishop Fox团队确定YoLink智能枢纽和移动应用使用未加密的MQTT消息进行通信。因此，能够监控任一设备生成网络流量的攻击者可以获取敏感信息，如MQTT凭证和设备ID，或篡改流量以控制受影响的设备。

漏洞细节

Bishop Fox团队发现YoLink应用未能正确使用户会话失效，即使在注销后，会话cookie在超过一周的时间内仍然有效。增加的会话生命周期延长了攻击者劫持用户会话以执行恶意操作（如修改账户设置或与用户设备交互）的机会窗口。

漏洞细节

YoSmart未在90天负责任披露窗口内回应Bishop Fox的联系尝试。因此，目前不存在解决已识别漏洞的已知解决方案或缓解措施。在YoSmart采取必要措施修复已识别漏洞之前，Bishop Fox建议使用经过安全专业人员测试和审查的替代产品。