São Paulo — InkDesign News — Proprietários de dispositivos GPS da SinoTrack devem estar cientes de vulnerabilidades significativas que poderiam permitir que indivíduos não autorizados rastreassem veículos ou até mesmo desligassem seu combustível remotamente. Essas vulnerabilidades, que afetam todos os dispositivos SinoTrack conhecidos e a plataforma SinoTrack IOT PC, foram recentemente reveladas pelo pesquisador independente Raúl Ignacio Cruz Jiménez.
Incidente e vulnerabilidade
Os problemas identificados são dois. O primeiro, rotulado como CVE-2025-5484, trata de uma falha de autenticação fraca, ou seja, acessar o sistema de gerenciamento do dispositivo é excessivamente fácil. Cada dispositivo utiliza seu identificador único, impresso no receptor como nome de usuário.
Ademais, a preocupação aumenta pelo fato de que a senha padrão é amplamente conhecida e é a mesma para todos os dispositivos. Os usuários não são obrigados a alterar essa senha ao configurar seus dispositivos, facilitando o acesso a um possível atacante. Um invasor pode encontrar identificadores de dispositivos observando fisicamente um dispositivo ou localizando fotos de dispositivos online, como em sites de vendas.
O segundo problema, CVE-2025-5485, refere-se a uma discrepância de resposta observável. Essa falha está relacionada à estrutura dos nomes de usuário, que são identificadores numéricos, com até 10 dígitos. Isso permite que agentes maliciosos adivinhem nomes de usuários válidos tentando sequências de números, seja contando para cima ou para baixo a partir de identificadores conhecidos ou testando números aleatórios.
Impacto e resposta
Se um atacante conseguir explorar essas vulnerabilidades, ele poderia obter controle sobre veículos conectados, potencialmente rastreando sua localização ou até mesmo cortando a energia da bomba de combustível, quando suportado. Essas vulnerabilidades são consideradas de alta severidade, com uma delas, CVE-2025-5485, recebendo uma pontuação CVSS v4 de 8.8. Até o momento, a CISA não recebeu relatos de exploração ativa dessas vulnerabilidades em ataques públicos.
Ainda não obtivemos resposta da SinoTrack às solicitações de informações da CISA ou sobre a disponibilização de correções.
(“SinoTrack has not yet responded to CISA’s requests for information or provided fixes for these problems.”)— CISA
Mitigações recomendadas
Os usuários são fortemente aconselhados a tomar medidas imediatas para proteger seus dispositivos. A ação mais crucial é alterar a senha padrão para uma senha forte e única, acessando a interface de gerenciamento disponível em sinotrack.com. Ademais, é importante ocultar o identificador do dispositivo. Se a etiqueta com o identificador estiver visível em fotos públicas, recomenda-se remover ou substituir essas imagens para evitar que atacantes localizem essa informação.
Recomendamos práticas gerais de segurança cibernética, como ter cautela ao clicar em links em e-mails suspeitos, para evitar riscos adicionais.
(“CISA also recommends general cybersecurity practices, like being careful about clicking links in suspicious emails, to avoid further risks.”)— CISA
Riscos residuais permanecem, levando a necessidade de vigilância contínua e adoção de melhores práticas de segurança para prevenir incidentes semelhantes no futuro.
Fonte: (Hack Read – Segurança Cibernética)
