Se han revelado dos vulnerabilidades de seguridad en dispositivos GPS de Sinotrack que podrían explotarse para controlar ciertas funciones remotas en vehículos conectados e incluso rastrear sus ubicaciones.
«La explotación exitosa de estas vulnerabilidades podría permitir a un atacante alcanzar a los perfiles de dispositivos sin autorización a través de la interfaz de papeleo web global», dijo la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) en un aviso.
«El camino al perfil del dispositivo puede permitir que un atacante realice algunas funciones remotas en vehículos conectados, como el seguimiento de la ubicación del transporte y la desconexión de energía a la bala de combustible donde se admite».
Las vulnerabilidades, según la agencia, afectan todas las versiones de la plataforma PC Sinotrack IoT. Una breve descripción de los defectos está a continuación –
- CVE-2025-5484 (Puntuación CVSS: 8.3) – Autenticación débil a la interfaz de compañía de dispositivos Central Sinotrack se deriva del uso de una contraseña predeterminada y un nombre de afortunado que es un identificador impreso en el receptor.
- CVE-2025-5485 (Puntuación CVSS: 8.6) – El nombre de afortunado utilizado para autenticarse en la interfaz de compañía web, es aseverar, el identificador, es un valía algorítmico de no más de 10 dígitos.
Un atacante podría recuperar identificadores de dispositivos con camino físico o capturando identificadores de imágenes de los dispositivos publicados en sitios web de camino divulgado como eBay. Encima, el adversario podría enumerar los objetivos potenciales al incrementarse o disminuir de identificadores conocidos o mediante secuencias de dígitos aleatorios enumeradores.
«Correcto a su descuido de seguridad, este dispositivo permite la ejecución remota y el control de los vehículos a los que está conectado y asimismo roba información confidencial sobre usted y sus vehículos», dijo el investigador de seguridad Raúl Ignacio Cruz Jiménez, quien informó los fallas a CISA, dijo a The Hacker News en un comunicado.
Actualmente no hay soluciones que aborden las vulnerabilidades. Hacker News se ha comunicado con SINOTRACK para hacer comentarios, y actualizaremos la historia si recibimos noticiero.
En marcha de un parche, se recomienda a los usuarios que cambien la contraseña predeterminada lo antaño posible y tome medidas para ocultar el identificador. «Si la pegatina es visible en fotografías de camino divulgado, considere eliminar o reemplazar las imágenes para proteger el identificador», dijo CISA.
