美国网络安全和基础设施安全局（CISA）近日发布了一项警告，指出SinoTrack GPS设备存在重大安全漏洞，可能导致攻击者能够远程控制车辆，甚至切断燃油供应。这些漏洞影响所有已知的SinoTrack设备和SinoTrack IOT PC平台。据独立研究人员拉乌尔·艾格纳西奥·克鲁斯·希门斯（Raúl Ignacio Cruz Jiménez）披露，此次发现引发了广泛关注。

根据CISA的报告，这些漏洞主要分为两类，分别为CVE-2025-5484和CVE-2025-5485。第一个漏洞是由于认证机制薄弱，攻击者可以通过简单的方式登录设备的管理系统。每个设备都有一个独特的标识符，该标识符在接收器上以用户名的形式打印出来，而所有设备的默认密码则是通用的，且众所周知。用户在设置设备时并未被强制更改此默认密码，这使得攻击者轻易地可以猜测出密码。此外，攻击者还可以通过物理接触设备或者在公开网站（如eBay）上找到设备的照片来获取设备标识符。

第二个漏洞则是可观察的响应差异。该漏洞与用户名的结构有关，用户名为最多10位的数字标识符。这使得恶意行为者可以通过简单地逐步尝试已知标识符的数字序列或随机数来猜测有效的用户名。如果攻击成功，攻击者便可控制连接的车辆，进而进行实时跟踪或切断燃油泵供电。

这些漏洞的严峻性得到了CISA的充分肯定，其中CVE-2025-5485的CVSS v4评分高达8.8。截至目前，CISA尚未收到关于这些特定漏洞在公开攻击中被恶意利用的报告。这一信息的发布对SinoTrack GPS设备的用户来说是一个严重的信号，他们需要立即采取防范措施以保护自己的设备安全。

针对当前的缺陷，SinoTrack尚未回应CISA的修复请求，因此用户被强烈建议采取一些重要步骤来保护他们的设备。其中最关键的步骤是尽快通过位于sinotrack.com的管理界面更改默认密码，确保其强度和唯一性。此外，用户还应当注意隐藏设备标识符。如果标识符的标签在公共照片中可见，建议用户删掉或更换这些照片，以防止攻击者获取这一信息。

CISA还建议用户采取其他通用的网络安全措施，以预防进一步的风险。例如，在接收到可疑电子邮件时，要小心点击其中的链接，并避免打开附件。更为详细的关于如何保护控制系统的指导信息可在CISA的网站上获取。

总的来看，SinoTrack GPS设备的用户面临的安全风险不容忽视。随着技术的发展和网络攻击手段的演变，防范措施的及时、有效落实显得尤为重要。网络安全不仅仅是技术漏洞的修复，更涉及到用户的日常操作习惯和安全意识的提升。

随着信息安全问题的日益严重，组织和个人都应加强对网络安全的重视，积极采取措施保护自己的信息和资产。CISA社区鼓励用户关注这些警告，采取适当的安全措施，从而有效维护信息的安全性与完整性。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！