Poważna luka w urządzeniach GPS. Haker może unieruchomić pojazd

Choć przypomina to element scenariusza filmu z gatunku science-fiction, to w rzeczywistości jest to realny problem, który dotyczy milionów pojazdów na całym świecie. Amerykańska agencja ds. cyberbezpieczeństwa CISA ostrzegła użytkowników systemu SinoTrack IoT PC przed poważnymi lukami w zabezpieczeniach.

W ostatnim czasie zidentyfikowano poważne luki bezpieczeństwa w systemie SinoTrack IoT PC, którym nadano oznaczenia CVE-2025-5484 i CVE-2025-5485. Pierwsza z zauważonych luk dotyczy domyślnych haseł i łatwych do odgadnięcia nazw użytkownika, które najczęściej są identyfikatorami urządzeń. Druga luka dotyczy możliwości przewidywania nazw użytkowników, które można wyliczyć lub odgadnąć ze zdjęć udostępnionych w internecie.

Te dane umożliwiają zdalny dostęp do urządzeń SinoTrack IoT PC przez internet, co niektórzy mogą wykorzystać w wątpliwych moralnie celach. Po zdalnym dostaniu się do panelu zarządzania urządzeniem, hakerzy mogą sprawdzić nie tylko lokalizację pojazdu, lecz także wyłączyć pompę paliwową. Powoduje to skuteczne unieruchomienie pojazdu, przynajmniej na jakiś czas.

Agencja CISA zaznaczyła, że producent nie odniósł się do odkrytych luk bezpieczeństwa. Choć nie odnotowano jeszcze żadnego masowego ataku za pomocą odkrytych luk, nie warto bagatelizować problemu. W 130 krajach na całym świecie działać może nawet 6 mln urządzeń firmy SinoTrack.

Z możliwości oferowanych przez te urządzenia korzysta ponad tysiąc firm, a nawet klienci indywidualni. Skala problemu jest więc bardzo duża. Amerykańska agencja ds. cyberbezpieczeństwa wydała kilka zaleceń, które pomogą uchronić się przed atakami.

Użytkownicy wadliwych urządzeń, SinoTrack IoT PC, powinni natychmiast zmienić domyślne hasła i ukryć numery identyfikatorów na zdjęciach w internecie. Ponadto warto obserwować zachowanie pojazdów z zainstalowanym modułem GPS pod kątem nietypowej aktywności. To doraźne zalecenia amerykańskiej agencji CISA, które mogą pomóc w uchronieniu się przed niechcianymi atakami hakerskimi.

Jeśli nie ma możliwości zabezpieczenia identyfikatora urządzenia, poprzez usunięcie jego zdjęć z internetu, warto rozważyć czasowe odłączenie modułu GPS, by ograniczyć ryzyko przejęcia pojazdu. Niestety, brak reakcji producenta urządzeń SinoTrack powoduje, że użytkownicy sami muszą zadbać o swoje bezpieczeństwo do czasu, gdy zostanie wydana poprawka oprogramowania. Ignorowanie zaleceń CISA przy tak łatwym dostępie do panelu zarządzania urządzeniem, może mieć poważne konsekwencje.