“YoLink Smart Hub ราคาแค่ $20 แต่เปิดช่องให้แฮกเกอร์เข้าบ้านคุณ — ช่องโหว่ 4 จุดที่ยังไม่มีแพตช์”
ใครจะคิดว่าอุปกรณ์ IoT ราคาประหยัดอย่าง YoLink Smart Hub รุ่น v0382 ที่ขายเพียง $20 จะกลายเป็นประตูหลังให้แฮกเกอร์เข้าถึงบ้านคุณได้โดยตรง ล่าสุดทีมวิจัยจาก Bishop Fox ได้เปิดเผยช่องโหว่ร้ายแรง 4 จุดในอุปกรณ์นี้ ซึ่งรวมถึงการควบคุมอุปกรณ์จากระยะไกล, การขโมยข้อมูล Wi-Fi, และการรักษาสิทธิ์เข้าถึงแบบไม่หมดอายุ
YoLink Hub ทำหน้าที่เป็นศูนย์กลางควบคุมอุปกรณ์สมาร์ทในบ้าน เช่น ล็อกประตู เซ็นเซอร์ และปลั๊กไฟ โดยใช้ชิป ESP32 และสื่อสารผ่านโปรโตคอล MQTT ร่วมกับเทคโนโลยี LoRaWAN ซึ่งแม้จะดูทันสมัย แต่กลับมีช่องโหว่ที่เปิดให้ผู้โจมตีสามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้ หากรู้ device ID ซึ่งสามารถคาดเดาได้ง่าย
ช่องโหว่แรกคือการ “ข้ามการตรวจสอบสิทธิ์” (CVE-2025-59449 และ CVE-2025-59452) ที่ทำให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่ที่สองคือการส่งข้อมูลสำคัญ เช่น รหัส Wi-Fi แบบไม่เข้ารหัส (CVE-2025-59448) ผ่าน MQTT ทำให้ข้อมูลถูกดักจับได้ง่าย และช่องโหว่สุดท้ายคือการจัดการ session ที่ผิดพลาด (CVE-2025-59451) ซึ่งทำให้แฮกเกอร์สามารถรักษาการเข้าถึงอุปกรณ์ได้อย่างต่อเนื่อง
ที่น่ากังวลคือ YoSmart ผู้ผลิตยังไม่ได้ออกแพตช์หรือคำแนะนำใด ๆ แม้จะได้รับรายงานช่องโหว่ล่วงหน้ากว่า 90 วัน ทำให้ผู้ใช้ต้องรับมือเอง โดย Bishop Fox แนะนำให้ถอดอุปกรณ์ออกจากระบบเครือข่ายบ้านทันที และหลีกเลี่ยงการใช้กับอุปกรณ์ที่ควบคุมการเข้าถึงทางกายภาพ เช่น ล็อกประตูหรือประตูโรงรถ
ข้อมูลสำคัญจากข่าว
YoLink Smart Hub รุ่น v0382 มีช่องโหว่ร้ายแรง 4 จุดที่ยังไม่มีแพตช์
ใช้ชิป ESP32 และสื่อสารผ่าน MQTT และ LoRaWAN
ช่องโหว่ CVE-2025-59449 และ CVE-2025-59452: ข้ามการตรวจสอบสิทธิ์
ช่องโหว่ CVE-2025-59448: ส่งข้อมูลสำคัญแบบไม่เข้ารหัส
ช่องโหว่ CVE-2025-59451: การจัดการ session ที่ผิดพลาด
นักวิจัยสามารถควบคุมล็อกประตูของผู้ใช้คนอื่นได้จริง
Device ID สามารถคาดเดาได้ง่าย ทำให้การโจมตีเป็นไปได้จริง
YoSmart ยังไม่ตอบสนองต่อรายงานช่องโหว่ภายในกรอบเวลา 90 วัน
Bishop Fox แนะนำให้หยุดใช้งานอุปกรณ์ทันที
ข้อมูลเสริมจากภายนอก
ESP32 เป็นชิปยอดนิยมในอุปกรณ์ IoT แต่ต้องมีการเสริมความปลอดภัย
MQTT เป็นโปรโตคอล lightweight ที่นิยมใช้ใน IoT แต่ต้องเข้ารหัสเพื่อความปลอดภัย
LoRaWAN เหมาะกับการสื่อสารระยะไกล แต่มีข้อจำกัดด้านความปลอดภัย
CVE (Common Vulnerabilities and Exposures) เป็นระบบจัดการช่องโหว่ที่ใช้ทั่วโลก
การจัดการ session ที่ดีต้องมีการหมดอายุและตรวจสอบสิทธิ์ซ้ำ
https://hackread.com/20-yolink-iot-gateway-vulnerabilities-home-security/
ใครจะคิดว่าอุปกรณ์ IoT ราคาประหยัดอย่าง YoLink Smart Hub รุ่น v0382 ที่ขายเพียง $20 จะกลายเป็นประตูหลังให้แฮกเกอร์เข้าถึงบ้านคุณได้โดยตรง ล่าสุดทีมวิจัยจาก Bishop Fox ได้เปิดเผยช่องโหว่ร้ายแรง 4 จุดในอุปกรณ์นี้ ซึ่งรวมถึงการควบคุมอุปกรณ์จากระยะไกล, การขโมยข้อมูล Wi-Fi, และการรักษาสิทธิ์เข้าถึงแบบไม่หมดอายุ
YoLink Hub ทำหน้าที่เป็นศูนย์กลางควบคุมอุปกรณ์สมาร์ทในบ้าน เช่น ล็อกประตู เซ็นเซอร์ และปลั๊กไฟ โดยใช้ชิป ESP32 และสื่อสารผ่านโปรโตคอล MQTT ร่วมกับเทคโนโลยี LoRaWAN ซึ่งแม้จะดูทันสมัย แต่กลับมีช่องโหว่ที่เปิดให้ผู้โจมตีสามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้ หากรู้ device ID ซึ่งสามารถคาดเดาได้ง่าย
ช่องโหว่แรกคือการ “ข้ามการตรวจสอบสิทธิ์” (CVE-2025-59449 และ CVE-2025-59452) ที่ทำให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่ที่สองคือการส่งข้อมูลสำคัญ เช่น รหัส Wi-Fi แบบไม่เข้ารหัส (CVE-2025-59448) ผ่าน MQTT ทำให้ข้อมูลถูกดักจับได้ง่าย และช่องโหว่สุดท้ายคือการจัดการ session ที่ผิดพลาด (CVE-2025-59451) ซึ่งทำให้แฮกเกอร์สามารถรักษาการเข้าถึงอุปกรณ์ได้อย่างต่อเนื่อง
ที่น่ากังวลคือ YoSmart ผู้ผลิตยังไม่ได้ออกแพตช์หรือคำแนะนำใด ๆ แม้จะได้รับรายงานช่องโหว่ล่วงหน้ากว่า 90 วัน ทำให้ผู้ใช้ต้องรับมือเอง โดย Bishop Fox แนะนำให้ถอดอุปกรณ์ออกจากระบบเครือข่ายบ้านทันที และหลีกเลี่ยงการใช้กับอุปกรณ์ที่ควบคุมการเข้าถึงทางกายภาพ เช่น ล็อกประตูหรือประตูโรงรถ
ข้อมูลสำคัญจากข่าว
YoLink Smart Hub รุ่น v0382 มีช่องโหว่ร้ายแรง 4 จุดที่ยังไม่มีแพตช์
ใช้ชิป ESP32 และสื่อสารผ่าน MQTT และ LoRaWAN
ช่องโหว่ CVE-2025-59449 และ CVE-2025-59452: ข้ามการตรวจสอบสิทธิ์
ช่องโหว่ CVE-2025-59448: ส่งข้อมูลสำคัญแบบไม่เข้ารหัส
ช่องโหว่ CVE-2025-59451: การจัดการ session ที่ผิดพลาด
นักวิจัยสามารถควบคุมล็อกประตูของผู้ใช้คนอื่นได้จริง
Device ID สามารถคาดเดาได้ง่าย ทำให้การโจมตีเป็นไปได้จริง
YoSmart ยังไม่ตอบสนองต่อรายงานช่องโหว่ภายในกรอบเวลา 90 วัน
Bishop Fox แนะนำให้หยุดใช้งานอุปกรณ์ทันที
ข้อมูลเสริมจากภายนอก
ESP32 เป็นชิปยอดนิยมในอุปกรณ์ IoT แต่ต้องมีการเสริมความปลอดภัย
MQTT เป็นโปรโตคอล lightweight ที่นิยมใช้ใน IoT แต่ต้องเข้ารหัสเพื่อความปลอดภัย
LoRaWAN เหมาะกับการสื่อสารระยะไกล แต่มีข้อจำกัดด้านความปลอดภัย
CVE (Common Vulnerabilities and Exposures) เป็นระบบจัดการช่องโหว่ที่ใช้ทั่วโลก
การจัดการ session ที่ดีต้องมีการหมดอายุและตรวจสอบสิทธิ์ซ้ำ
https://hackread.com/20-yolink-iot-gateway-vulnerabilities-home-security/
🔓 “YoLink Smart Hub ราคาแค่ $20 แต่เปิดช่องให้แฮกเกอร์เข้าบ้านคุณ — ช่องโหว่ 4 จุดที่ยังไม่มีแพตช์”
ใครจะคิดว่าอุปกรณ์ IoT ราคาประหยัดอย่าง YoLink Smart Hub รุ่น v0382 ที่ขายเพียง $20 จะกลายเป็นประตูหลังให้แฮกเกอร์เข้าถึงบ้านคุณได้โดยตรง ล่าสุดทีมวิจัยจาก Bishop Fox ได้เปิดเผยช่องโหว่ร้ายแรง 4 จุดในอุปกรณ์นี้ ซึ่งรวมถึงการควบคุมอุปกรณ์จากระยะไกล, การขโมยข้อมูล Wi-Fi, และการรักษาสิทธิ์เข้าถึงแบบไม่หมดอายุ
YoLink Hub ทำหน้าที่เป็นศูนย์กลางควบคุมอุปกรณ์สมาร์ทในบ้าน เช่น ล็อกประตู เซ็นเซอร์ และปลั๊กไฟ โดยใช้ชิป ESP32 และสื่อสารผ่านโปรโตคอล MQTT ร่วมกับเทคโนโลยี LoRaWAN ซึ่งแม้จะดูทันสมัย แต่กลับมีช่องโหว่ที่เปิดให้ผู้โจมตีสามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้ หากรู้ device ID ซึ่งสามารถคาดเดาได้ง่าย
ช่องโหว่แรกคือการ “ข้ามการตรวจสอบสิทธิ์” (CVE-2025-59449 และ CVE-2025-59452) ที่ทำให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่ที่สองคือการส่งข้อมูลสำคัญ เช่น รหัส Wi-Fi แบบไม่เข้ารหัส (CVE-2025-59448) ผ่าน MQTT ทำให้ข้อมูลถูกดักจับได้ง่าย และช่องโหว่สุดท้ายคือการจัดการ session ที่ผิดพลาด (CVE-2025-59451) ซึ่งทำให้แฮกเกอร์สามารถรักษาการเข้าถึงอุปกรณ์ได้อย่างต่อเนื่อง
ที่น่ากังวลคือ YoSmart ผู้ผลิตยังไม่ได้ออกแพตช์หรือคำแนะนำใด ๆ แม้จะได้รับรายงานช่องโหว่ล่วงหน้ากว่า 90 วัน ทำให้ผู้ใช้ต้องรับมือเอง โดย Bishop Fox แนะนำให้ถอดอุปกรณ์ออกจากระบบเครือข่ายบ้านทันที และหลีกเลี่ยงการใช้กับอุปกรณ์ที่ควบคุมการเข้าถึงทางกายภาพ เช่น ล็อกประตูหรือประตูโรงรถ
✅ ข้อมูลสำคัญจากข่าว
➡️ YoLink Smart Hub รุ่น v0382 มีช่องโหว่ร้ายแรง 4 จุดที่ยังไม่มีแพตช์
➡️ ใช้ชิป ESP32 และสื่อสารผ่าน MQTT และ LoRaWAN
➡️ ช่องโหว่ CVE-2025-59449 และ CVE-2025-59452: ข้ามการตรวจสอบสิทธิ์
➡️ ช่องโหว่ CVE-2025-59448: ส่งข้อมูลสำคัญแบบไม่เข้ารหัส
➡️ ช่องโหว่ CVE-2025-59451: การจัดการ session ที่ผิดพลาด
➡️ นักวิจัยสามารถควบคุมล็อกประตูของผู้ใช้คนอื่นได้จริง
➡️ Device ID สามารถคาดเดาได้ง่าย ทำให้การโจมตีเป็นไปได้จริง
➡️ YoSmart ยังไม่ตอบสนองต่อรายงานช่องโหว่ภายในกรอบเวลา 90 วัน
➡️ Bishop Fox แนะนำให้หยุดใช้งานอุปกรณ์ทันที
✅ ข้อมูลเสริมจากภายนอก
➡️ ESP32 เป็นชิปยอดนิยมในอุปกรณ์ IoT แต่ต้องมีการเสริมความปลอดภัย
➡️ MQTT เป็นโปรโตคอล lightweight ที่นิยมใช้ใน IoT แต่ต้องเข้ารหัสเพื่อความปลอดภัย
➡️ LoRaWAN เหมาะกับการสื่อสารระยะไกล แต่มีข้อจำกัดด้านความปลอดภัย
➡️ CVE (Common Vulnerabilities and Exposures) เป็นระบบจัดการช่องโหว่ที่ใช้ทั่วโลก
➡️ การจัดการ session ที่ดีต้องมีการหมดอายุและตรวจสอบสิทธิ์ซ้ำ
https://hackread.com/20-yolink-iot-gateway-vulnerabilities-home-security/
0 ความคิดเห็น
0 การแบ่งปัน
73 มุมมอง
0 รีวิว