Los dispositivos GPS de Sinotrack revelan dos vulnerabilidades de seguridad que se utilizan para controlar características remotas específicas y ubicaciones de seguimiento en vehículos conectados.
«La explotación exitosa de estas vulnerabilidades permitirá a los atacantes acceder a los perfiles de dispositivos sin permiso a través de una interfaz de gestión web común», dijo la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) en su asesoramiento.
«El acceso a los perfiles de dispositivos puede permitir que un atacante realice funciones remotas en vehículos conectados, como el seguimiento de la ubicación del vehículo o la desconexión de energía a una bomba de combustible admitida».
Las vulnerabilidades por agencia afectan a todas las versiones de la plataforma SINOTRACK IoT PC. Se puede encontrar una breve explicación del defecto a continuación –
CVE-2025-5484 (puntaje CVSS: 8.3)-La autenticación débil a la interfaz de administración de dispositivos Central Sinotrack se debe al uso de la contraseña predeterminada y el nombre de usuario, el identificador impreso al destinatario. CVE-2025-5485 (puntaje CVSS: 8.6): el nombre de usuario o identificador utilizado para autenticar la interfaz de administración web, es una cantidad de 10 o menos dígitos.
Un atacante puede obtener el identificador del dispositivo a través del acceso físico o capturar el identificador de una foto del dispositivo publicado en un sitio web público como eBay. Además, los enumeros pueden enumerar objetivos potenciales aumentando o disminuyendo de identificadores conocidos, o enumerando secuencias numéricas aleatorias.
«Debido a la falta de seguridad, el dispositivo permite la ejecución remota y el control de los vehículos conectados, y también puede robar información confidencial sobre usted y su vehículo», el investigador de seguridad Raul Ignacio Cruz Ziménez emitió un comunicado en las noticias del hacker diciendo que había informado el defecto a la CISA.
Actualmente no hay correcciones para abordar la vulnerabilidad. La noticia del hacker contactó a Sinotrak para hacer comentarios. Si has oído hablar de eso, actualizaré la historia.
Si no hay parche, se recomienda que los usuarios cambien su contraseña predeterminada lo más rápido posible y tomen medidas para ocultar el identificador. «Si las pegatinas son visibles en fotos publicables, considere eliminar o reemplazar las fotos para proteger el identificador», dijo CISA.
Source link
