La CISA met en garde contre des failles de contrôle à distance dans les traceurs GPS SinoTrack

Les propriétaires d'appareils GPS SinoTrack doivent être conscients des importantes failles de sécurité qui pourraient permettre à des personnes non autorisées de localiser des véhicules, voire de couper leur carburant à distance. Ces vulnérabilités, affectant tous les appareils SinoTrack connus et la plateforme PC IOT SinoTrack, ont récemment été mises en lumière par le chercheur indépendant Raúl Ignacio Cruz Jiménez. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a émis une alerte concernant ces problèmes.

Deux problèmes principaux ont été identifiés. Le premier, identifié comme CVE-2025-5484 , est une faille d'authentification faible, rendant la connexion au système de gestion de l'appareil trop facile. Chaque appareil utilise son identifiant unique, imprimé sur le récepteur comme nom d'utilisateur.

Plus inquiétant encore, le mot de passe par défaut est largement connu et identique pour tous les appareils. Les utilisateurs ne sont pas obligés de le modifier lors de la configuration de leurs appareils, ce qui le rend facile à deviner pour un pirate informatique. Un pirate pourrait trouver les identifiants des appareils en les observant physiquement ou en consultant des photos d'appareils en ligne, par exemple sur des sites comme eBay.

Le deuxième problème, CVE-2025-5485 , est une différence de réponse observable. Cette faille est liée à la structure des noms d'utilisateur ; ce sont des identifiants numériques pouvant comporter jusqu'à 10 chiffres. Cela permet aux acteurs malveillants de deviner des noms d'utilisateur valides en essayant simplement différentes séquences de chiffres, soit en comptant à partir d'identifiants connus, soit en essayant des nombres aléatoires.

En cas de succès, un attaquant pourrait prendre le contrôle des véhicules connectés, potentiellement suivre leur localisation ou même couper l'alimentation de la pompe à carburant lorsque cela est possible.

Ces vulnérabilités sont considérées comme extrêmement graves, l'une d'elles, CVE-2025-5485, obtenant un score CVSS v4 de 8,8. À ce jour, la CISA n'a reçu aucun signalement d'exploitation active de ces vulnérabilités dans le cadre d'attaques publiques.

SinoTrack n'a pas encore répondu aux demandes d'informations de la CISA ni fourni de correctifs à ces problèmes. Il est donc fortement conseillé aux utilisateurs de prendre des mesures immédiates pour protéger leurs appareils. L'étape la plus cruciale consiste à remplacer le mot de passe par défaut par un mot de passe fort et unique via l'interface de gestion disponible sur sinotrack.com .

De plus, il est important de masquer l'identifiant de l'appareil. Si l'autocollant avec l'identifiant est visible sur des photos publiques, il est recommandé de supprimer ou de remplacer ces photos pour empêcher les pirates de trouver cette information.

La CISA recommande également des pratiques générales de cybersécurité , comme la prudence lors des clics sur les liens contenus dans les e-mails suspects, afin d'éviter tout risque supplémentaire. Des conseils plus détaillés sur la sécurisation des systèmes de contrôle sont disponibles sur le site web de la CISA.