La CISA avverte dei difetti del controllo remoto nei localizzatori GPS SinoTrack

I possessori di dispositivi GPS SinoTrack devono essere consapevoli delle significative falle di sicurezza che potrebbero consentire a persone non autorizzate di tracciare i veicoli o persino di interromperne il rifornimento da remoto. Queste vulnerabilità, che interessano tutti i dispositivi SinoTrack noti e la piattaforma PC SinoTrack IoT, sono state recentemente portate alla luce dal ricercatore indipendente Raúl Ignacio Cruz Jiménez. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso in merito a queste problematiche.

Sono stati identificati due problemi principali. Il primo, denominato CVE-2025-5484 , è una falla di autenticazione debole, che rende l'accesso al sistema di gestione del dispositivo troppo semplice. Ogni dispositivo utilizza un identificativo univoco, stampato sul ricevitore come nome utente.

Ciò che è ancora più preoccupante è che la password predefinita è ampiamente nota ed è la stessa per tutti i dispositivi. Gli utenti non sono obbligati a modificarla durante la configurazione dei dispositivi, rendendola facile da indovinare per un aggressore. Un aggressore potrebbe scoprire gli identificativi del dispositivo osservando fisicamente il dispositivo o trovando immagini di dispositivi online, ad esempio su siti web come eBay.

Il secondo problema, CVE-2025-5485 , è una discrepanza osservabile nella risposta. Questa falla riguarda la struttura dei nomi utente: si tratta di identificatori numerici, lunghi fino a 10 cifre. Questo permette ai malintenzionati di indovinare nomi utente validi semplicemente provando diverse sequenze numeriche, contando in avanti o indietro a partire da identificatori noti, oppure provando numeri casuali.

In caso di successo, un aggressore potrebbe assumere il controllo dei veicoli connessi, potenzialmente tracciandone la posizione o addirittura interrompendo l'alimentazione della pompa del carburante, laddove supportata.

Queste vulnerabilità sono considerate estremamente gravi, con una delle falle, CVE-2025-5485, che ha ottenuto un punteggio CVSS v4 di 8,8. Al momento, CISA non ha ricevuto segnalazioni di sfruttamento attivo di queste vulnerabilità specifiche in attacchi pubblici.

SinoTrack non ha ancora risposto alle richieste di informazioni di CISA né ha fornito soluzioni per questi problemi. Pertanto, si consiglia vivamente agli utenti di agire immediatamente per proteggere i propri dispositivi. Il passaggio più importante è modificare la password predefinita con una password complessa e univoca tramite l'interfaccia di gestione disponibile su sinotrack.com .

Inoltre, è importante nascondere l'identificativo del dispositivo. Se l'adesivo con l'identificativo è visibile in foto pubbliche, si consiglia di rimuovere o sostituire tali immagini per impedire agli aggressori di scoprire queste informazioni.

La CISA raccomanda inoltre pratiche generali di sicurezza informatica , come prestare attenzione a non cliccare sui link presenti in email sospette, per evitare ulteriori rischi. Indicazioni più dettagliate sulla protezione dei sistemi di controllo sono disponibili sul sito web della CISA.