S’han revelat dues vulnerabilitats de seguretat als dispositius GPS SinoTrack que es podrien explotar per controlar determinades funcions remotes en vehicles connectats i fins i tot fer un seguiment de les seves ubicacions.

«L’explotació amb èxit d’aquestes vulnerabilitats podria permetre que un atacant accedeixi als perfils del dispositiu sense autorització mitjançant la interfície comuna de gestió web», va dir l’Agència de Seguretat Cibernètica i d’Infraestructures dels Estats Units (CISA) en un assessorament.

«L’accés al perfil del dispositiu pot permetre que un atacant faci algunes funcions remotes en vehicles connectats, com ara fer un seguiment de la ubicació del vehicle i desconnectar l’alimentació de la bomba de combustible quan sigui compatible.»

Les vulnerabilitats, segons l’agència, afecten totes les versions de la SinoTrack IoT PC Platform. Tot seguit es mostra una descripció breu dels defectes:

• CVE-2025-5484 (puntuació CVSS: 8,3): l’autenticació feble a la interfície central de gestió del dispositiu SinoTrack deriva de l’ús d’una contrasenya predeterminada i un nom d’usuari que és un identificador imprès al receptor.
• CVE-2025-5485 (puntuació CVSS: 8,6): el nom d’usuari utilitzat per autenticar-se a la interfície de gestió web, és a dir, l’identificador, és un valor numèric de no més de 10 dígits.

Un atacant podria recuperar els identificadors de dispositius amb accés físic o capturant identificadors d’imatges dels dispositius publicats en llocs web d’accés públic com ara eBay. A més, l’atacant podria enumerar objectius potencials augmentant o disminuint els identificadors coneguts o mitjançant l’enumeració de seqüències de dígits aleatòries.

«A causa de la seva manca de seguretat, aquest dispositiu permet l’execució i el control remot dels vehicles als quals està connectat i també roba informació delicada sobre vostè i els seus vehicles», va dir l’investigador de seguretat Raúl Ignacio Cruz Jiménez, que va informar de les fallades a CISA, en un comunicat a The Hacker News.

Actualment, no hi ha correccions que solucionin les vulnerabilitats. The Hacker News s’ha posat en contacte amb SinoTrack per fer comentaris i actualitzarem la història si ens responen.

En absència d’un pedaç, es recomana als usuaris que canviïn la contrasenya predeterminada tan aviat com sigui possible i que prenguin mesures per ocultar l’identificador. «Si l’adhesiu és visible a les fotografies accessibles al públic, considereu la possibilitat de suprimir o substituir les imatges per protegir l’identificador», va dir CISA.