Sinotrack GPS izleme platformunu etkileyen güvenlik açıkları, saldırganların araçların konumundaki sekmeleri tutmasına ve hatta güçlerin yakıt pompasına bağlantıyı kesme gibi eylemler gerçekleştirmesine izin verebilir (eğer izleyici bir otomobilin sistemiyle etkileşime girebilirse).
Uyarı, güvenlik araştırmacısı Raúl Ignacio Cruz Jiménez’in bir raporuna dayanarak geçen hafta siber güvenlik ve altyapı Güvenlik Ajansı (CISA) tarafından yayınlandı ve güvenlik açıkları henüz yamalanmadı.
Güvenlik Açıkları (CVE-2025-5484, CVE-2025-5485)
Sinotrack, GPS izleme cihazları ve filo yönetimi çözümlerinde uzmanlaşmış Çin merkezli bir üreticidir. Şirkete göre, 6 milyondan fazla GPS izleyicisi dünyanın dört bir yanındaki araçlara kuruldu.
Araştırmacı tarafından işaretlenen güvenlik açıkları (CVE-2025-5484, CVE-2025-5485), GPS izleyicilerini izleyici modeline, uyarıcı ve-belirli işlevlerin uzaktan takvimini sağlayan bir web/uygulama yönetimi arayüzüne bağlayan Sinotrack IoT PC platformunun tüm sürümlerini etkiler.
Sinotrack GPS izleyicileri, cihazın benzersiz kimliğini – 10 basamaktan oluşan sayısal bir tanımlayıcı – ve bir şifre kullanarak platforma doğrulanmıştır.
Ancak tüm cihazlar için kullanıcı adı benzersiz olsa da, izleyiciye de basılmıştır, bu da saldırganların bir cihaza fiziksel erişimi varsa veya cihazların halka açık resimlerinden (örn. Ebay listelerinden) toplayabildikleri takdirde keşfedebilecekleri anlamına gelir.
Saldırganlar ayrıca “bilinen tanımlayıcılardan veya rastgele basamak dizilerini numaralandırarak potansiyel hedefleri numaralandırabilir” diye açıklayabilir.
Buna, kullanıcıların izleyiciyi ayarlarken halka açık varsayılan şifreyi değiştirmeleri gerekmediği ve sömürü potansiyeli belirgin hale gelir.
Ne yapalım?
Ajans, “Sinotrack CISA’nın koordinasyon talebine yanıt vermedi” dedi ve şirketin izleyicilerinin kullanıcılarını varsayılan, karmaşık bir şifreyi mümkün olan en kısa sürede değiştirmeye ve cihaz tanımlayıcıyı gizlemeye çağırdı.
“Çıkartma halka açık fotoğraflarda görülebilirse, tanımlayıcıyı korumak için resimleri silmeyi veya değiştirmeyi düşünün” diye eklediler.
Sinotrack’a saldırı için bu caddeyi kapatmak için hafifletmeler uygulamayı düşünüp uygulamadıklarını sorduk ve bu makaleyi onlardan duyduğumuzda güncelleyeceğiz.
2022’de Bitsight araştırmacıları, benzer saldırılara izin verebilecek belirli bir GPS izleyici modelinde Çin merkezli üretici Micodus’u güvenlik açıkları bildirdi ve şirket düzeltmeleri yayınladı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!