Se han revelado dos vulnerabilidades de seguridad en dispositivos GPS de Sinotrack que podrían explotarse para controlar ciertas funciones remotas en vehículos conectados e incluso rastrear sus ubicaciones.
“La explotación exitosa de estas vulnerabilidades podría permitir a un atacante entrar a los perfiles de dispositivos sin autorización a través de la interfaz de gobierno web popular”, dijo la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) en un aviso.
“El golpe al perfil del dispositivo puede permitir que un atacante realice algunas funciones remotas en vehículos conectados, como el seguimiento de la ubicación del transporte y la desconexión de energía a la obús de combustible donde se admite”.
Las vulnerabilidades, según la agencia, afectan todas las versiones de la plataforma PC Sinotrack IoT. Una breve descripción de los defectos está a continuación –
- CVE-2025-5484 (Puntuación CVSS: 8.3) – Autenticación débil a la interfaz de empresa de dispositivos Central Sinotrack se deriva del uso de una contraseña predeterminada y un nombre de legatario que es un identificador impreso en el receptor.
- CVE-2025-5485 (Puntuación CVSS: 8.6) – El nombre de legatario utilizado para autenticarse en la interfaz de empresa web, es asegurar, el identificador, es un valía algorítmico de no más de 10 dígitos.
Un atacante podría recuperar identificadores de dispositivos con golpe físico o capturando identificadores de imágenes de los dispositivos publicados en sitios web de golpe notorio como eBay. Encima, el adversario podría enumerar los objetivos potenciales al incrementarse o disminuir de identificadores conocidos o mediante secuencias de dígitos aleatorios enumeradores.
“Correcto a su desidia de seguridad, este dispositivo permite la ejecución remota y el control de los vehículos a los que está conectado y todavía roba información confidencial sobre usted y sus vehículos”, dijo el investigador de seguridad Raúl Ignacio Cruz Jiménez, quien informó los fallas a CISA, dijo a The Hacker News en un comunicado.
Actualmente no hay soluciones que aborden las vulnerabilidades. Hacker News se ha comunicado con SINOTRACK para hacer comentarios, y actualizaremos la historia si recibimos informativo.
En desaparición de un parche, se recomienda a los usuarios que cambien la contraseña predeterminada lo antaño posible y tome medidas para ocultar el identificador. “Si la pegatina es visible en fotografías de golpe notorio, considere eliminar o reemplazar las imágenes para proteger el identificador”, dijo CISA.
