أجهزة “SinoTrack” GPS معرّضة للتحكم عن بُعد في المركبات بسبب كلمات المرور الافتراضية

كُشف عن ثغرتين أمنيتين في أجهزة تتبع GPS التابعة لشركة “SinoTrack”، يمكن استغلالهما للتحكم في بعض الوظائف عن بُعد للمركبات المتصلة وحتى تتبع مواقعها.

وحذّرت وكالة الأمن السيبراني الأمريكية (CISA) في بيان لها:
“الاستغلال الناجح لهذه الثغرات قد يمكّن المهاجمين من الوصول غير المصرّح به إلى ملفات الأجهزة عبر واجهة إدارة الويب المشتركة، مما يسمح لهم بتنفيذ وظائف عن بُعد مثل تتبع موقع المركبة أو قطع التيار عن مضخة الوقود (حيثما يكون مدعومًا).”

تفاصيل الثغرات الأمنية

تؤثر الثغرات على جميع إصدارات منصة SinoTrack IoT PC، وهي:

1. CVE-2025-5484 (درجة خطورتها 8.3/10):

   • ضعف في آلية المصادقة بسبب استخدام كلمة مرور افتراضية واسم مستخدم مطبوع على الجهاز (معرّف رقمي).

2. CVE-2025-5485 (درجة خطورتها 8.6/10):

   • اسم المستخدم المستخدم للمصادقة هو رقم لا يتجاوز 10 خانات، مما يسهل تخمينه أو اختراقه.

كيفية الاستغلال

يمكن للمهاجمين الحصول على المعرّفات الرقمية للأجهزة عبر:

• الوصول المادي إلى الجهاز.

• تحليل الصور المنشورة على مواقع مثل “eBay” حيث تظهر هذه المعرّفات.

• تخمين التسلسلات الرقمية بزيادة أو نقصان الأرقام المعروفة مسبقًا.

وأكد الباحث الأمني راؤول إغناطيوس كروز خيمينيز (الذي أبلغ عن الثغرات لـ CISA):
“نظرًا لضعف الحماية، يتيح هذا الجهاز التحكم عن بُعد في المركبات المتصلة به وسرقة البيانات الحساسة.”

الإصلاحات الموصى بها

حتى الآن، لا توجد تحديثات رسمية لإصلاح الثغرات. تنصح CISA المستخدمين بما يلي:

1. تغيير كلمة المرور الافتراضية فورًا.

2. إخفاء المعرّف الرقمي للجهاز، وحذف أي صور تُظهره علنًا.