GPS-трекеры китайской компании SinoTrack оказались под угрозой эксплуатации из-за двух уязвимостей, которые допускают удалённый контроль за подключёнными транспортными средствами и слежку за их перемещением.
Согласно официальному предупреждению, проблемные уязвимости затрагивают все версии IoT-платформы SinoTrack PC и связаны с недостатками в механизмах аутентификации. В результате атаки злоумышленник может получить несанкционированный доступ к профилям устройств через веб-интерфейс управления. Получив такой доступ, возможно не только отслеживание координат автомобиля, но и выполнение функций, потенциально отключающих питание, например, топливного насоса — если такая функция поддерживается конкретной моделью. Были обнаружены следующие уязвимости:
- CVE-2025-5484 (оценка CVSS: 8.3) заключается в использовании стандартного пароля и имени пользователя, которым выступает уникальный идентификатор устройства — он обычно размещён на корпусе приёмника.
- CVE-2025-5485 (оценка CVSS: 8.6) связана с тем, что в качестве имени пользователя в системе авторизации используется числовой идентификатор длиной не более 10 символов. Такие идентификаторы легко подобрать — либо с помощью перебора случайных чисел, либо путём анализа серийных номеров, опубликованных в интернете.
Отдельную опасность представляет то, что злоумышленники могут получить идентификаторы даже без физического доступа к устройствам. Достаточно фотографии устройства с открытым стикером — такие изображения часто публикуются на маркетплейсах или в инструкциях к GPS-трекерам. После получения одного действующего идентификатора можно начать автоматический перебор соседних значений, что резко расширяет поле атаки.
Устройства SinoTrack, по сути, предоставляют полный удалённый контроль над подключённым автомобилем, включая доступ к конфиденциальным данным о пользователе и машине. При этом никакой защиты по умолчанию фактически не предусмотрено, как отмечают специалисты.
На данный момент не существует официального исправления. Компания SinoTrack свои комментарии не предоставила.
Всем владельцам SinoTrack рекомендуется немедленно сменить пароль по умолчанию и по возможности скрыть или удалить фотографии устройств с видимыми идентификаторами. В некоторых случаях может потребоваться даже замена ранее опубликованных изображений, чтобы исключить компрометацию уникального номера. Пока не появятся программные исправления, это остаётся единственной эффективной мерой защиты от потенциальной атаки.