SinoTrack GPS cihazları, varsayılan kimlik bilgileri üzerinden araçların uzaktan ele geçirilmesine açık hale geliyor.

11.06.2025

SinoTrack GPS cihazlarında iki kritik güvenlik açığı tespit edildi. Bu açıklar, saldırganların bazı araç işlevlerini uzaktan kontrol etmesine ve araçların konumlarını izlemesine olanak tanıyabilir. Güvenlik açıkları, tüm SinoTrack IoT PC Platformu sürümlerini etkiliyor ve platformun web yönetim arayüzü üzerinden yetkisiz şekilde kötüye kullanılabiliyor.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) göre, ilk güvenlik açığı (CVE-2025-5484, CVSS puanı: 8.3), cihazın üzerine basılmış bir tanımlayıcıyı kullanıcı adı olarak kullanan ve varsayılan bir parolayla çalışan zayıf kimlik doğrulama sisteminden kaynaklanıyor. İkinci açık (CVE-2025-5485, CVSS puanı: 8.6) ise en fazla 10 haneli sayısal tanımlayıcılarla doğrulama yapılmasına dayanarak güvenliği daha da zayıflatıyor.

Bu tanımlayıcılar, fiziksel erişim yoluyla ya da eBay gibi çevrimiçi pazar yerlerine yüklenen cihaz fotoğraflarının incelenmesiyle kolayca elde edilebiliyor. Saldırganlar, bilinen tanımlayıcıları az farkla değiştirerek veya rastgele sayı dizilerini deneyerek potansiyel hedefleri sistematik olarak oluşturabilir.

Söz konusu açıkları CISA’ya bildiren güvenlik araştırmacısı Raúl Ignacio Cruz Jiménez, bu güvenlik açıklarının uzaktan komut yürütmeye olanak tanıdığını ve saldırganların, desteklenen durumlarda yakıt pompasını devre dışı bırakmak gibi araç sistemlerine müdahale edebileceğini belirtti. Ayrıca, kişisel ve araca ait hassas verilerin de ele geçirilebileceğini vurguladı. Cihazları temel olarak güvensiz olarak nitelendirdi.

Şu an için bu güvenlik açıklarını giderecek resmi bir yama yayımlanmış değil. CISA, kullanıcıların derhal varsayılan parolaları değiştirmelerini ve cihaz tanımlayıcılarının açık şekilde görünür olmadığından emin olmalarını öneriyor. Eğer cihaz üzerindeki etiketler çevrimiçi fotoğraflarda görünüyorsa, bu görsellerin silinmesi veya değiştirilmesi tavsiye ediliyor.