Dua kerentanan keamanan telah diungkapkan dalam perangkat GPS Sinotrack yang dapat dieksploitasi untuk mengendalikan fungsi jarak jauh tertentu pada kendaraan yang terhubung dan bahkan melacak lokasi mereka.
“Eksploitasi yang berhasil dari kerentanan ini dapat memungkinkan penyerang untuk mengakses profil perangkat tanpa otorisasi melalui antarmuka manajemen web umum,” kata Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) dalam penasihat.
“Akses ke profil perangkat dapat memungkinkan penyerang untuk melakukan beberapa fungsi jarak jauh pada kendaraan yang terhubung seperti melacak lokasi kendaraan dan melepaskan daya ke pompa bahan bakar di mana didukung.”
Kerentanan, per agensi, memengaruhi semua versi platform PC Sinotrack IoT. Deskripsi singkat tentang kekurangan ada di bawah ini –
- CVE-2025-5484 (Skor CVSS: 8.3) – Otentikasi lemah ke antarmuka manajemen perangkat Sinotrack pusat berasal dari penggunaan kata sandi default dan nama pengguna yang merupakan pengidentifikasi yang dicetak pada penerima.
- CVE-2025-5485 (Skor CVSS: 8.6) – Nama pengguna yang digunakan untuk mengotentikasi antarmuka manajemen web, yaitu pengidentifikasi, adalah nilai numerik tidak lebih dari 10 digit.
Seorang penyerang dapat mengambil pengidentifikasi perangkat dengan akses fisik atau dengan menangkap pengidentifikasi dari gambar perangkat yang diposting di situs web yang dapat diakses publik seperti eBay. Selain itu, musuh dapat menyebutkan target potensial dengan menambah atau mengurangi dari pengidentifikasi yang diketahui atau melalui menyebutkan urutan digit acak.
“Karena kurangnya keamanan, perangkat ini memungkinkan eksekusi jarak jauh dan kendali kendaraan yang terhubung dan juga mencuri informasi sensitif tentang Anda dan kendaraan Anda,” peneliti keamanan Raúl Ignacio Cruz Jiménez, yang melaporkan kelemahan ke CISA, mengatakan kepada Hacker News dalam sebuah pernyataan.
Saat ini tidak ada perbaikan yang mengatasi kerentanan. The Hacker News telah menghubungi Sinotrack untuk memberikan komentar, dan kami akan memperbarui cerita jika kami mendengar kembali.
Dengan tidak adanya tambalan, pengguna disarankan untuk mengubah kata sandi default sesegera mungkin dan mengambil langkah -langkah untuk menyembunyikan pengidentifikasi. “Jika stiker terlihat pada foto yang dapat diakses publik, pertimbangkan untuk menghapus atau mengganti gambar untuk melindungi pengidentifikasi,” kata Cisa.
