هکرها می‌توانند با رمز پیش‌فرض، خودروها را از راه دور کنترل کنند

CISA در ۱۱ ژوئن ۲۰۲۵ اعلام کرد که دو آسیب‌پذیری امنیتی در دستگاه‌های Sinotrack GPS وجود دارد که به مهاجمان اجازه می‌دهد با استفاده از نام‌کاربری پیش‌فرض (شناسه عددی ≤ ۱۰ رقم) و رمز پیش‌فرض به پنل‌های تحت وب متصل شده و خودروها را ردیابی یا حتی پمپ سوخت آن‌ها را غیرفعال کنند .

در این تحلیل، پنج پاراگراف بدون نمایش تگ H آماده کرده‌ام:

1. شرکت CISA دو آسیب‌پذیری بحرانی را در پلتفرم Sinotrack IoT PC اعلام کرده است. در مدل CVE‑۲۰۲۵‑۵۴۸۴، رمز پیش‌فرض و نام‌کاربری چاپ‌شده روی دستگاه‌ها، امکان دسترسی غیرمجاز به پنل را فراهم می‌سازد. همچنین CVE‑۲۰۲۵‑۵۴۸۵، ناشی از استفاده از شناسه عددی ساده (با طول ≤۱۰ رقم) برای ورود است

2. مهاجم می‌تواند با دیدن استیکر یا عکس دستگاه (مثلاً روی eBay)، شماره شناسه را استخراج کند؛ سپس با آزمون و خطا یا حدس‌زدن، وارد پنل وب شود و کنترل خودرو را در دست گیرد .

3. از جمله پیامدهای جدی این نفوذ می‌توان به رهگیری موقعیت خودرو و قطع پمپ سوخت اشاره کرد. این روش، نمونه‌ای از حمله سایبری است که تهدید جدی برای امنیت فیزیکی و سلامت مالی کاربران محسوب می‌شود .

4. تاکنون هیچ پچی برای رفع این آسیب‌پذیری‌ها ارائه نشده؛ بنابراین تا زمان انتشار بروزرسانی توسط شرکت سازنده، تنها روش کاهش خطر، تغییر فوری رمز پیش‌فرض و حذف یا مخفی کردن شناسه چاپ‌شده است .

5. CISA تأکید کرده که کاربران دستگاه‌های Sinotrack باید رمزهای قوی تنظیم کرده و تصاویر منتشر شده از دستگاه را حذف یا اصلاح کنند تا شناسه آن فاش نشود. همچنین توصیه می‌شود هشدار و مانیتورینگ ورودهای غیرمجاز فعال شود

• The Hacker News – گزارش آسیب‌پذیری Sinotrack GPS
• Vulners – اشاره به CVE‑۲۰۲۵‑۵۴۸۴ و CVE‑۲۰۲۵‑۵۴۸۵