Pesquisadores revelaram duas falhas críticas em dispositivos GPS da marca SinoTrack, amplamente utilizados em veículos conectados. As vulnerabilidades podem ser exploradas por hackers para assumir o controle remoto de funções do veículo e monitorar sua localização em tempo real, representando um risco significativo à segurança física e à privacidade dos usuários.

De acordo com um alerta emitido pela Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA), as falhas afetam todas as versões da plataforma de IoT para PC da SinoTrack. O problema decorre do uso de credenciais padrão e previsíveis no sistema de gerenciamento web da empresa. "A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor acesse perfis de dispositivos sem autorização e execute funções como rastreamento de localização ou desligamento da bomba de combustível", alertou a agência.

As falhas foram catalogadas como CVE-2025-5484, com pontuação CVSS de 8,3, e CVE-2025-5485, com pontuação de 8,6. A primeira está relacionada ao uso de senha padrão e nome de usuário baseado em identificadores impressos nos dispositivos. Já a segunda aponta que o identificador usado como login pode ser um número de até 10 dígitos, o que facilita a adivinhação por parte de invasores. Esses identificadores podem ser obtidos por meio de acesso físico, fotos publicadas em sites como eBay ou por tentativas automatizadas com sequências numéricas.

O pesquisador Raúl Ignacio Cruz Jiménez, responsável pela descoberta, alertou: "Esses dispositivos, por falta de segurança, permitem controle remoto do veículo e a coleta de informações sensíveis sobre os proprietários". A SinoTrack ainda não lançou correções para as falhas. Enquanto isso, a recomendação é clara: os usuários devem alterar imediatamente as senhas padrão e evitar expor fotos dos dispositivos com identificadores visíveis. "Considere excluir ou substituir imagens públicas que revelem essas informações", orientou a CISA.

Via - THN