Sinotrack GPS cihazlarının sahipleri, yetkisiz bireylerin araçları izlemesine veya hatta yakıtlarını uzaktan kesmesine izin verebilecek önemli güvenlik zayıflıklarının farkında olmalıdır. Bilinen tüm Sinotrack cihazlarını ve Sinotrack IoT PC platformunu etkileyen bu güvenlik açıkları, yakın zamanda bağımsız araştırmacı Raúl Ignacio Cruz Jiménez tarafından gün ışığına çıkarıldı. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bu konularda bir uyarı yayınladı.
Riskler nelerdir?
İki ana sorun tanımlanmıştır. İlk olarak CVE-2025-5484 etiketli, zayıf bir kimlik doğrulama kusurudur, yani cihazın yönetim sistemine giriş yapmanın çok kolay olduğu anlamına gelir. Her cihaz, kullanıcı adı olarak alıcıya basılan benzersiz tanımlayıcıyı kullanır.
Daha da önemlisi, varsayılan şifrenin yaygın olarak bilinmesi ve tüm cihazlar için aynı olmasıdır. Kullanıcılar, cihazlarını ayarlarken bu şifreyi değiştirmek zorunda kalmazlar, bu da bir saldırganın tahmin etmesini kolaylaştırır. Bir saldırgan, bir cihaza fiziksel olarak bakarak veya örneğin eBay gibi web sitelerinde çevrimiçi cihazların resimlerini bularak cihaz tanımlayıcıları bulabilir.
İkinci sayı, CVE-2025-5485, gözlemlenebilir bir yanıt tutarsızlıktır. Bu kusur, kullanıcı adlarının nasıl yapılandırıldığı ile ilgilidir; 10 basamak uzunluğunda sayısal tanımlayıcılardır. Bu, kötü niyetli aktörlerin, bilinen tanımlayıcılardan veya rastgele sayıları deneyerek farklı sayı dizilerini deneyerek veya rastgele sayıları deneyerek geçerli kullanıcı adlarını tahmin etmesini mümkün kılar.
Başarılı olursa, bir saldırgan bağlı araçlar üzerinde kontrol sahibi olabilir, potansiyel olarak nerede olduklarını izleyebilir ve hatta desteklendiği yakıt pompasına güç kesebilir.
Bu güvenlik açıkları son derece şiddetli olarak kabul edilir, kusurlardan biri olan CVE-2025-5485, CVSS V4 skoru 8.8 kazanır. Şu an itibariyle, CISA, kamu saldırılarında aktif olarak sömürülen bu belirli güvenlik açıklarının raporları almamıştır.
Şimdi ne yapmalı
Sinotrack, CISA’nın bilgi taleplerine henüz yanıt vermedi veya bu sorunlar için düzeltmeler sağladı. Bu nedenle, kullanıcılara cihazlarını korumak için derhal harekete geçmeleri şiddetle tavsiye edilir. En önemli adım, varsayılan şifreyi, şu adreste bulunan yönetim arayüzü aracılığıyla güçlü, benzersiz bir şifreyi değiştirmektir. sinotrack.com.
Ayrıca, cihaz tanımlayıcısını gizlemek önemlidir. Tanımlayıcıya sahip etiket herhangi bir genel fotoğrafta görülebilirse, saldırganların bu bilgileri bulmasını önlemek için bu resimleri kaldırmanız veya değiştirmeniz önerilir.
CISA ayrıca, daha fazla riskten kaçınmak için şüpheli e -postalardaki bağlantıları tıklamaya dikkat etmek gibi genel siber güvenlik uygulamalarını da önerir. Kontrol sistemlerinin güvenliği konusunda daha ayrıntılı rehberlik CISA’nın web sitesinde mevcuttur.