Underc0de

Investigadores de ciberseguridad han revelado dos graves vulnerabilidades en los dispositivos GPS de la marca SinoTrack, ampliamente utilizados en vehículos conectados. Las fallas permiten a atacantes remotos acceder a funciones críticas del vehículo, como el rastreo de ubicación y la desconexión de componentes, a través de interfaz web sin autenticación segura.

La alerta fue emitida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), quien advierte que la explotación exitosa de estas vulnerabilidades en dispositivos IoT podría tener implicaciones severas para la privacidad y seguridad física de los propietarios de vehículos.

Qué dispositivos SinoTrack están afectados

CISA ha confirmado que todas las versiones de la plataforma SinoTrack IoT PC están afectadas por estas vulnerabilidades de seguridad. SinoTrack, conocida por sus dispositivos de rastreo GPS asequibles, distribuye su tecnología a nivel global, lo que amplía la superficie de ataque potencial.

Las vulnerabilidades identificadas han sido catalogadas bajo los siguientes identificadores:

CVE-2025-5484 – Autenticación débil en la interfaz de administración

• Puntuación CVSS: 8.3
• Descripción: La interfaz central de administración utiliza credenciales predeterminadas débiles. El nombre de usuario es un identificador único impreso físicamente en el dispositivo, y la contraseña predeterminada no es modificada automáticamente.
• Impacto: Permite que un atacante obtenga acceso no autorizado a la plataforma web de gestión y controle remotamente funciones del vehículo.

CVE-2025-5485 – Identificadores numéricos fácilmente enumerables

• Puntuación CVSS: 8.6
• Descripción: El nombre de usuario (identificador del dispositivo) es un número de hasta 10 dígitos, lo que facilita su descubrimiento por fuerza bruta o enumeración.
• Impacto: Permite a los atacantes descubrir dispositivos válidos e ingresar a sus perfiles sin autenticación robusta.

Riesgos y vectores de ataque

Un atacante podría obtener los identificadores de los dispositivos SinoTrack mediante acceso físico o incluso capturando imágenes publicadas en sitios como eBay, donde los dispositivos son revendidos con fotografías que muestran etiquetas visibles.

Con solo una imagen que revele el número de identificación del dispositivo, un atacante podría:

• Acceder a la interfaz web de administración.
• Rastrear la ubicación geográfica en tiempo real del vehículo.
• Ejecutar funciones críticas como desactivar la bomba de combustible, si el modelo lo permite.
• Robar información sensible del vehículo y del usuario.

El investigador de seguridad Raúl Ignacio Cruz Jiménez, quien reportó las fallas a CISA, advirtió en declaraciones a The Hacker News:

Citar"Debido a su falta de seguridad, este dispositivo permite la ejecución y el control remoto de los vehículos a los que está conectado y también roba información confidencial sobre usted y sus vehículos."

No existen parches disponibles: medidas de mitigación urgentes

A la fecha, SinoTrack no ha publicado actualizaciones de firmware o parches que corrijan estas fallas de seguridad. La redacción de The Hacker News intentó contactar a la compañía para obtener una respuesta oficial, pero no se ha recibido una declaración.

Mientras tanto, CISA recomienda a los usuarios tomar medidas de mitigación inmediatas, tales como:

• Cambiar la contraseña predeterminada del dispositivo SinoTrack lo antes posible.
• Ocultar o cubrir el identificador físico impreso en el dispositivo para evitar su exposición en imágenes públicas.
• Evitar publicar fotos de dispositivos GPS en sitios web de compraventa sin antes asegurarse de eliminar cualquier información visible.

• Monitorear regularmente la actividad del vehículo desde la interfaz de administración.

Dispositivos IoT inseguros: una amenaza creciente en el sector automotriz

Este incidente pone nuevamente en el centro del debate la seguridad de los dispositivos IoT en el entorno automotriz. El uso de contraseñas predeterminadas, identificadores predecibles y falta de autenticación robusta sigue siendo una de las principales debilidades de los dispositivos conectados.

La situación también subraya la importancia de que los fabricantes de dispositivos IoT adopten prácticas de seguridad por diseño, incluyendo:

• Forzar el cambio de credenciales al primer uso.
• Implementar autenticación multifactor.
• Cifrar las comunicaciones entre el dispositivo y los servidores de gestión.
• Validar accesos mediante tokens temporales o certificados.

En fin, las vulnerabilidades en dispositivos GPS de SinoTrack representan una amenaza significativa para la seguridad de los vehículos conectados. El hecho de que un atacante pueda rastrear vehículos y ejecutar comandos remotos sin autenticación fuerte, pone en riesgo tanto la privacidad del usuario como su integridad física.

Mientras la empresa no ofrezca soluciones oficiales, es crucial que los usuarios actúen de inmediato para reducir su exposición. Asimismo, se hace un llamado a la industria a fortalecer la ciberseguridad en dispositivos IoT críticos, especialmente aquellos utilizados en el transporte y movilidad inteligente.

Fuente: https://thehackernews.com/