Jak zdalnie przejąć auto? Wystarczy GPS i uniwersalne hasło
Amerykańska agencja ds. cyberbezpieczeństwa CISA ostrzega przed krytycznymi lukami bezpieczeństwa w popularnych systemach GPS. Hakerzy są w stanie zdalnie sterować autem czy śledzić jego położenie.
Groźne luki bezpieczeństwa w popularnych urządzeniach GPS SinoTrack
Jak donosi CISA dwie luki (CVE-2025-5484 oraz CVE-2025-5485) dotyczą wszystkich wersji platformy SinoTrack IoT PC. Pierwsza z nich (CVSS 8.3) wynika z zastosowania domyślnego hasła oraz nazwy użytkownika, która jest jednocześnie identyfikatorem urządzenia nadrukowanym na odbiorniku. Druga (CVSS 8.6) dotyczy faktu, że identyfikator ten to prosty, maksymalnie 10-cyfrowy numer, co ułatwia jego odgadnięcie lub wyliczenie.
Osoba atakująca może zdobyć identyfikator urządzenia poprzez fizyczny dostęp lub poprzez zdjęcia urządzenia publikowane np. na aukcjach internetowych. Następnie, wykorzystując domyślne dane logowania, może uzyskać dostęp do panelu zarządzania urządzeniem przez internet. Pozwala to nie tylko na śledzenie pozycji pojazdu, ale także – w niektórych modelach – na zdalne odcięcie zasilania pompy paliwowej, co może unieruchomić samochód.
Co więcej, atakujący mogą masowo próbować różne kombinacje identyfikatorów, aby znaleźć kolejne podatne urządzenia.
Wywal to z auta, póki nie przyjdą poprawki
Producent nie udostępnił poprawek eliminujących luki. CISA zaleca użytkownikom natychmiastową zmianę domyślnego hasła oraz ukrycie identyfikatora urządzenia – np. poprzez usunięcie lub zamazanie zdjęć, na których jest on widoczny. Jeśli to niemożliwe, odłącz czasowo moduł GPS.
Na całym świecie SinoTrack ma aż 6 mln zainstalowanych urządzeń w ponad 130 krajach całego świata, a oprócz klientów indywidualnych i małych firm z jego usług korzysta ponad 1000 korporacji. Firma na razie nie skomentowała sprawy.
