Se han revelado dos vulnerabilidades de seguridad en dispositivos GPS de Sinotrack que podrían explotarse para controlar ciertas funciones remotas en vehículos conectados e incluso rastrear sus ubicaciones.
«La explotación exitosa de estas vulnerabilidades podría permitir a un atacante acceder a los perfiles de dispositivos sin autorización a través de la interfaz de gestión web común», dijo la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) en un aviso.
«El acceso al perfil del dispositivo puede permitir que un atacante realice algunas funciones remotas en vehículos conectados, como el seguimiento de la ubicación del vehículo y la desconexión de energía a la bomba de combustible donde se admite».
Las vulnerabilidades, según la agencia, afectan todas las versiones de la plataforma PC Sinotrack IoT. Una breve descripción de los defectos está a continuación –
- CVE-2025-5484 (Puntuación CVSS: 8.3) – Autenticación débil a la interfaz de administración de dispositivos Central Sinotrack se deriva del uso de una contraseña predeterminada y un nombre de usuario que es un identificador impreso en el receptor.
- CVE-2025-5485 (Puntuación CVSS: 8.6) – El nombre de usuario utilizado para autenticarse en la interfaz de administración web, es decir, el identificador, es un valor numérico de no más de 10 dígitos.
Un atacante podría recuperar identificadores de dispositivos con acceso físico o capturando identificadores de imágenes de los dispositivos publicados en sitios web de acceso público como eBay. Además, el adversario podría enumerar los objetivos potenciales al incrementarse o disminuir de identificadores conocidos o mediante secuencias de dígitos aleatorios enumeradores.
«Debido a su falta de seguridad, este dispositivo permite la ejecución remota y el control de los vehículos a los que está conectado y también roba información confidencial sobre usted y sus vehículos», dijo el investigador de seguridad Raúl Ignacio Cruz Jiménez, quien informó los fallas a CISA, dijo a The Hacker News en un comunicado.
Actualmente no hay soluciones que aborden las vulnerabilidades. Hacker News se ha comunicado con SINOTRACK para hacer comentarios, y actualizaremos la historia si recibimos noticias.
En ausencia de un parche, se recomienda a los usuarios que cambien la contraseña predeterminada lo antes posible y tome medidas para ocultar el identificador. «Si la pegatina es visible en fotografías de acceso público, considere eliminar o reemplazar las imágenes para proteger el identificador», dijo CISA.