SinoTrack GPSデバイスにおける2つのセキュリティ脆弱性が公開され、接続された車両の特定の遠隔機能を制御したり、位置を追跡したりするために悪用される可能性があります。
「これらの脆弱性を成功裏に悪用すると、一般的なウェブ管理インターフェースを通じてデバイスプロファイルに無許可でアクセスできる可能性があります」と米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は勧告で述べています。
「デバイスプロファイルへのアクセスにより、接続された車両の位置を追跡したり、燃料ポンプへの電力を切断したりするなどの遠隔機能を実行できる可能性があります。」
この脆弱性は、SinoTrack IoT PCプラットフォームのすべてのバージョンに影響を与えます。以下に欠陥の簡単な説明を示します –
- CVE-2025-5484 (CVSSスコア: 8.3) – 中央SinoTrackデバイス管理インターフェースへの弱い認証は、デフォルトパスワードと受信機に印刷された識別子であるユーザー名の使用に起因します。
- CVE-2025-5485 (CVSSスコア: 8.6) – ウェブ管理インターフェースへの認証に使用されるユーザー名、すなわち識別子は、10桁以下の数値です。
攻撃者は、物理的なアクセスや、eBayなどの公開アクセス可能なウェブサイトに投稿されたデバイスの写真から識別子を取得することができます。さらに、既知の識別子から増減したり、ランダムな数字列を列挙することで、潜在的なターゲットを特定することができます。
「セキュリティが欠如しているため、このデバイスは接続された車両の遠隔実行と制御を可能にし、あなたやあなたの車両に関する機密情報を盗むこともできます」と、CISAに欠陥を報告したセキュリティ研究者のRaúl Ignacio Cruz Jiménez氏はThe Hacker Newsに声明で述べています。
現在、脆弱性に対処する修正はありません。The Hacker NewsはSinoTrackにコメントを求めており、返答があれば記事を更新します。
パッチがない場合、ユーザーはデフォルトパスワードをできるだけ早く変更し、識別子を隠す手段を講じることをお勧めします。「ステッカーが公開アクセス可能な写真に見える場合、識別子を保護するために写真を削除または置き換えることを検討してください」とCISAは述べています。
翻訳元: https://thehackernews.com/2025/06/sinotrack-gps-devices-vulnerable-to.html