آژانس امنیت سایبری و زیرساخت آمریکا (CISA) در اطلاعیهای اعلام کرد: “بهرهبرداری موفقیتآمیز از این آسیبپذیریها میتواند به مهاجم اجازه دهد بدون مجوز از طریق رابط مدیریت وب مشترک به پروفایلهای دستگاه دسترسی پیدا کند. دسترسی به پروفایل دستگاه ممکن است به مهاجم اجازه دهد برخی عملکردهای از راه دور را روی خودروهای متصل انجام دهد، مانند ردیابی موقعیت خودرو و قطع برق پمپ سوخت در صورت پشتیبانی.”
بر اساس گزارش این آژانس، این آسیبپذیریها تمام نسخههای پلتفرم PC اینترنت اشیا سینوترک را تحت تأثیر قرار میدهد.
شرح مختصر این نقصها به شرح زیر است:
CVE-2025-5484 (امتیاز CVSS: 8.3) – احراز هویت ضعیف در رابط مدیریت مرکزی دستگاه سینوترک که ناشی از استفاده از رمز عبور پیشفرض و نام کاربری است که یک شناسه چاپ شده روی گیرنده میباشد.
CVE-2025-5485 (امتیاز CVSS: 8.6) – نام کاربری مورد استفاده برای احراز هویت در رابط مدیریت وب، یعنی شناسه، یک مقدار عددی حداکثر 10 رقمی است.
مهاجم میتواند شناسههای دستگاه را با دسترسی فیزیکی یا با گرفتن شناسهها از تصاویر دستگاههای منتشر شده در وبسایتهای عمومی مانند eBay به دست آورد. علاوه بر این، مهاجم میتواند اهداف احتمالی را با افزایش یا کاهش شناسههای شناخته شده یا از طریق شمارش توالیهای تصادفی ارقام شناسایی کند.
رائول ایگناسیو کروز خیمنز، محقق امنیتی که این نقصها را به CISA گزارش داد، گفت: “به دلیل فقدان امنیت، این دستگاه امکان اجرا و کنترل از راه دور خودروهایی که به آن متصل هستند را فراهم میکند و همچنین اطلاعات حساس شما و خودروهایتان را سرقت میکند.”
در حال حاضر هیچ وصلهای برای رفع این آسیبپذیریها وجود ندارد. در غیاب وصله، به کاربران توصیه میشود هرچه سریعتر رمز عبور پیشفرض را تغییر دهند و اقداماتی برای پنهان کردن شناسه انجام دهند.
CISA اعلام کرد: “اگر برچسب در عکسهای عمومی قابل مشاهده است، حذف یا جایگزینی تصاویر را برای محافظت از شناسه در نظر بگیرید.”
کلمات کلیدی : آسیبپذیری امنیتی, دستگاه GPS سینوترک, امنیت سایبری, ردیابی موقعیت خودرو, احراز هویت ضعیف, کنترل از راه دور خودرو
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.