Duas vulnerabilidades de segurança foram divulgadas nos dispositivos GPS da SinoTrack, que podem ser exploradas para controlar certas funções remotas em veículos conectados e até rastrear suas localizações.
"A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante acesse perfis de dispositivo sem autorização por meio da interface comum de gerenciamento web", disse a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) em um comunicado.
"O acesso ao perfil do dispositivo pode permitir que um atacante realize algumas funções remotas em veículos conectados, como rastrear a localização do veículo e desconectar a energia da bomba de combustível, onde suportado."
As vulnerabilidades, segundo a agência, afetam todas as versões da Plataforma PC IoT da SinoTrack.
Uma breve descrição das falhas está abaixo:
- CVE-2025-5484 (pontuação CVSS: 8.3) - Autenticação fraca na interface central de gerenciamento de dispositivos SinoTrack decorre do uso de uma senha padrão e um nome de usuário que é um identificador impresso no receptor.
- CVE-2025-5485 (pontuação CVSS: 8.6) - O nome de usuário usado para autenticar na interface de gerenciamento web, isto é, o identificador, é um valor numérico de no máximo 10 dígitos.
Um atacante poderia recuperar identificadores de dispositivo com acesso físico ou capturando identificadores de fotos dos dispositivos postadas em sites publicamente acessíveis, como o eBay.
Além disso, o adversário poderia enumerar alvos potenciais incrementando ou decrementando de identificadores conhecidos ou através da enumeração de sequências de dígitos aleatórios.
"Devido à sua falta de segurança, este dispositivo permite a execução remota e o controle dos veículos aos quais está conectado e também rouba informações sensíveis sobre você e seus veículos", disse o pesquisador de segurança Raúl Ignacio Cruz Jiménez, que reportou as falhas para a CISA.
Atualmente, não existem correções que abordem as vulnerabilidades.
Na ausência de um patch, aconselha-se os usuários a mudar a senha padrão o quanto antes e tomar medidas para ocultar o identificador.
"Se o adesivo estiver visível em fotografias acessíveis publicamente, considere apagar ou substituir as fotos para proteger o identificador", disse a CISA.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...