Se han revelado dos vulnerabilidades de seguridad en los dispositivos GPS de SinoTrack que podrían ser utilizadas por atacantes para controlar ciertas funciones remotas de los vehículos conectados, así como rastrear su ubicación.
«Una explotación exitosa de estas vulnerabilidades podría permitir que un atacante acceda a los perfiles de los dispositivos sin autorización mediante la interfaz web de gestión común,« señaló la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en un comunicado.
«El acceso al perfil del dispositivo podría dar al atacante la capacidad de ejecutar funciones remotas, como rastrear la ubicación del vehículo o cortar el suministro eléctrico a la bomba de combustible, si el modelo lo permite.»
Según la agencia, todas las versiones de la plataforma IoT PC de SinoTrack están afectadas. A continuación, se detallan brevemente las fallas:
- CVE-2025-5484 (Puntuación CVSS: 8.3) – La autenticación débil en la interfaz de gestión central de dispositivos SinoTrack se debe al uso de una contraseña predeterminada y un nombre de usuario que corresponde a un identificador impreso en el receptor.
- CVE-2025-5485 (Puntuación CVSS: 8.6) – El nombre de usuario empleado para acceder a la interfaz web de administración es un número que no excede los 10 dígitos.
Un atacante podría obtener estos identificadores ya sea accediendo físicamente al dispositivo o a través de imágenes publicadas en sitios web públicos como eBay. Además, un adversario podría generar identificadores válidos probando secuencias numéricas aleatorias o incrementando/disminuyendo desde identificadores conocidos.
«Debido a su falta de medidas de seguridad, este dispositivo permite ejecutar acciones de forma remota y controlar los vehículos a los que está conectado, además de exponer información sensible sobre usted y su vehículo,» explicó el investigador de seguridad Raúl Ignacio Cruz Jiménez, quien notificó las fallas a la CISA.
Mientras no haya un parche disponible, se recomienda a los usuarios cambiar la contraseña predeterminada lo antes posible y ocultar el identificador del dispositivo. «Si el adhesivo con el identificador es visible en imágenes públicas, considere eliminarlas o sustituirlas para proteger esa información,» advirtió la CISA.
