Bishop Fox’taki siber güvenlik araştırmacıları, popüler, ucuz Yolink akıllı merkezinde (v0382) güvenlik açıkları ortaya koydu ve kullanıcıları uzak saldırganlara maruz bıraktı. Sadece 20 dolara mal olan merkez, tüm bağlı akıllı kilitleri, sensörleri ve fişleri yöneten merkezi bir ağ geçidi olarak hizmet eder. Bugün kamuya açıklanan ve dört ayrı CVE altında izlenen bu güvenlik açıkları, düşük maliyetli cihazların evlerimize bağlanmasında yer alan riskleri göstermektedir.
Bilgisayar korsanları Yolink cihazlarınızı nasıl devralabilir?
Çalışmalarına “Bu yılın başlarında” başlayarak, araştırmacılar birden fazla sıfır gün güvenlik açığı keşfettiler (daha önce bilinmeyen ve açılmamış kusurlar). Cihazı fiziksel olarak incelediler ve ortak bir ESP32 çip sistemi kullandığını belirttiler. Bu, iç işlerini derhal analiz etmelerine izin verdi.

Tüm Yolink sistemi için merkezi bir nokta olarak, göbek tek bir kontrol noktası görevi görür. MQTT protokolünü kullanarak mobil uygulamanızla iletişim kurar ve mesajları Lora veya Lorawan adlı benzersiz bir radyo teknolojisi kullanarak cihazlara dağıtır. Araştırmacılar, bu karmaşık iletişim yolunun hatalıydı.

En ciddi sorunlardan biri, CVE-2025-59449 ve CVE-2025-59452 (yetersiz yetkilendirme kontrolleri) olarak izlenen bir ‘yetkilendirme bypass’. Bunlardan en şiddetli olan CVE-2025-59449, kritik olarak derecelendirilir, sistemin erişim vermeden önce bir kullanıcının kimliğini düzgün bir şekilde doğrulamadığı anlamına gelir.
Bu kusur, öngörülebilir cihaz kimlikleri elde eden bir bilgisayar korsanının, diğer Yolink kullanıcılarına ait cihazları uzaktan kontrol etmesini sağlar. Araştırma yaparken, araştırmacılar farklı bir kullanıcının evinde akıllı bir kilit kullanma yeteneğini doğruladılar.
Erişim kusurunun ötesinde, iki kritik sorun daha bulundu. Cihaz, herhangi bir koruma olmadan kimlik bilgileri ve Wi-Fi şifreleri dahil olmak üzere hassas veriler gönderir.
Bu şifrelenmemiş MQTT iletişimi, verileri net, düz bir metinde ortaya koyar ve kolayca çalınabilir. Ek olarak, oturum kusurları (CVE-2025-59451: uygunsuz oturum yönetimi), erişim kazanan bir saldırganın bu yetkisiz kontrolü uzun süre tutabileceği anlamına gelir.

Şimdi ne yapmalısın
V0382 hub’ı kullanan herkes için sonuçlar şiddetlidir. Cihaz, akıllı kilitler ve garaj kapısı açıcıları gibi ev giriş noktalarını kontrol ettiğinden, kötü niyetli bir aktör potansiyel olarak “Yolink müşterilerinin evlerine fiziksel erişim elde edebilir”, Bishop Fox’un araştırma ekibi, Hackread.com ile yayınlanmasından önce paylaşılan teknik blog yazısında açıkladı.
Bu araştırma şu anda çok sayıda kullanıcıyı savunmasız hale getiriyor çünkü üretici Yosmart henüz bir yama veya düzeltme sağlamadı. Bir yama yayınlanana kadar, kullanıcılara merkezi güvensiz davranmaları tavsiye edilir. Temel ana ev ağlarından bağlantısı kesmeniz, onu eve fiziksel erişimi kontrol eden herhangi bir şey için kullanmaktan kaçınmanız ve düzenli güvenlik güncellemeleri sunan bir satıcıya geçmeyi düşünmeniz önerilir.