CISA предупреждает об ошибках дистанционного управления в GPS-трекерах SinoTrack

Владельцы устройств SinoTrack GPS должны знать о существенных уязвимостях безопасности, которые могут позволить неавторизованным лицам отслеживать транспортные средства или даже отключать их топливо удаленно. Эти уязвимости, затрагивающие все известные устройства SinoTrack и платформу SinoTrack IOT PC, были недавно обнаружены независимым исследователем Раулем Игнасио Крусом Хименесом. Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило предупреждение относительно этих проблем.

Были выявлены две основные проблемы. Первая, обозначенная как CVE-2025-5484 , представляет собой слабую уязвимость аутентификации, которая означает, что вход в систему управления устройством слишком прост. Каждое устройство использует свой уникальный идентификатор, который печатается на приемнике в качестве имени пользователя.

Еще более тревожно то, что пароль по умолчанию широко известен и одинаков для всех устройств. Пользователи не обязаны менять этот пароль при настройке своих устройств, что упрощает задачу злоумышленника. Злоумышленник может найти идентификаторы устройств, физически посмотрев на устройство или найдя изображения устройств в Интернете, например, на таких сайтах, как eBay.

Вторая проблема, CVE-2025-5485 , представляет собой наблюдаемое расхождение в ответах. Этот недостаток связан со структурой имен пользователей; они представляют собой числовые идентификаторы длиной до 10 цифр. Это позволяет злоумышленникам угадывать действительные имена пользователей, просто пробуя разные числовые последовательности, либо отсчитывая вверх или вниз от известных идентификаторов, либо пробуя случайные числа.

В случае успеха злоумышленник может получить контроль над подключенными транспортными средствами, потенциально отслеживая их местонахождение или даже отключая питание топливного насоса, если это поддерживается.

Эти уязвимости считаются крайне серьезными, и одна из них, CVE-2025-5485, получила оценку CVSS v4 8,8. На данный момент CISA не получала сообщений об активном использовании этих конкретных уязвимостей в публичных атаках.

SinoTrack пока не ответил на запросы CISA о предоставлении информации и не предоставил исправлений для этих проблем. Поэтому пользователям настоятельно рекомендуется принять немедленные меры для защиты своих устройств. Самый важный шаг — изменить пароль по умолчанию на надежный и уникальный через интерфейс управления, доступный на sinotrack.com .

Кроме того, важно скрыть идентификатор устройства. Если наклейка с идентификатором видна на каких-либо публичных фотографиях, рекомендуется удалить или заменить эти фотографии, чтобы злоумышленники не смогли найти эту информацию.

CISA также рекомендует общие правила кибербезопасности , например, осторожность при нажатии ссылок в подозрительных письмах, чтобы избежать дальнейших рисков. Более подробные рекомендации по защите систем управления доступны на веб-сайте CISA.