CISA warnt vor Fernsteuerungsfehlern bei SinoTrack-GPS-Trackern
Besitzer von SinoTrack-GPS-Geräten sollten sich erheblicher Sicherheitslücken bewusst sein, die es Unbefugten ermöglichen könnten, Fahrzeuge zu orten oder ihnen sogar die Kraftstoffzufuhr ferngesteuert zu unterbrechen. Diese Schwachstellen, die alle bekannten SinoTrack-Geräte und die SinoTrack-IOT-PC-Plattform betreffen, wurden kürzlich vom unabhängigen Forscher Raúl Ignacio Cruz Jiménez aufgedeckt. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat diesbezüglich eine Warnung herausgegeben.
Es wurden zwei Hauptprobleme identifiziert. Das erste, CVE-2025-5484 , ist eine schwache Authentifizierungslücke, die die Anmeldung am Verwaltungssystem des Geräts zu einfach macht. Jedes Gerät verwendet eine eindeutige Kennung, die als Benutzername auf dem Empfänger aufgedruckt ist.
Noch besorgniserregender ist, dass das Standardpasswort allgemein bekannt und für alle Geräte gleich ist. Benutzer werden nicht gezwungen, dieses Passwort bei der Einrichtung ihrer Geräte zu ändern, was es für Angreifer leicht macht, es zu erraten. Ein Angreifer könnte Gerätekennungen herausfinden, indem er sich ein Gerät persönlich ansieht oder Bilder von Geräten online findet, beispielsweise auf Websites wie eBay.
Das zweite Problem, CVE-2025-5485 , ist eine erkennbare Diskrepanz bei den Antworten. Dieser Fehler betrifft die Struktur von Benutzernamen; es handelt sich um numerische Kennungen mit bis zu zehn Ziffern. Dadurch können böswillige Akteure gültige Benutzernamen erraten, indem sie einfach verschiedene Zahlenfolgen ausprobieren, entweder durch Hoch- oder Herunterzählen bekannter Kennungen oder durch Ausprobieren von Zufallszahlen.
Bei erfolgreichem Einsatz könnte ein Angreifer die Kontrolle über vernetzte Fahrzeuge erlangen und möglicherweise deren Aufenthaltsort verfolgen oder sogar die Stromzufuhr zur Kraftstoffpumpe unterbrechen, sofern dies möglich ist.
Diese Schwachstellen gelten als äußerst schwerwiegend. Eine der Schwachstellen, CVE-2025-5485, erreichte einen CVSS v4-Score von 8,8. Bislang liegen der CISA keine Berichte vor, dass diese spezifischen Schwachstellen aktiv in öffentlichen Angriffen ausgenutzt werden.
SinoTrack hat bisher weder auf die Informationsanfragen der CISA reagiert noch Lösungen für diese Probleme bereitgestellt. Daher wird Benutzern dringend empfohlen, umgehend Maßnahmen zum Schutz ihrer Geräte zu ergreifen. Der wichtigste Schritt besteht darin, das Standardkennwort über die Verwaltungsoberfläche unter sinotrack.com in ein sicheres, eindeutiges Kennwort zu ändern.
Darüber hinaus ist es wichtig, die Gerätekennung zu verbergen. Ist der Aufkleber mit der Kennung auf öffentlichen Fotos sichtbar, empfiehlt es sich, diese zu entfernen oder zu ersetzen, um zu verhindern, dass Angreifer diese Informationen finden.
CISA empfiehlt außerdem allgemeine Cybersicherheitsmaßnahmen , wie beispielsweise Vorsicht beim Anklicken von Links in verdächtigen E-Mails, um weitere Risiken zu vermeiden. Ausführlichere Hinweise zur Sicherung von Kontrollsystemen finden Sie auf der CISA-Website.
HackRead
