美国网络安全情报局(CISA)报告了SinoTrack GPS设备中存在的严重漏洞，这些漏洞可能使攻击者远程控制车辆并追踪位置。了解这些漏洞以及保护设备安全的关键步骤。

SinoTrack GPS设备的拥有者应注意其存在重大安全漏洞，这些漏洞可能允许未经授权的个人追踪车辆，甚至远程切断车辆燃油。这些漏洞影响所有已知的SinoTrack设备和SinoTrack IOT PC平台，最近由独立研究员Raúl Ignacio Cruz Jiménez发现。美国网络安全和基础设施安全局(CISA)已就这些问题发出警报。

已发现两个主要问题。第一个漏洞编号为CVE-2025-5484，是一个弱身份验证漏洞，这意味着登录设备管理系统过于容易。每个设备都使用其唯一标识符，该标识符打印在接收器上作为用户名。

更令人担忧的是，默认密码广为人知，所有设备都使用相同的密码。用户在设置设备时无需更改此密码，这使得攻击者很容易猜到。攻击者可以通过查看设备或在线查找设备图片（例如在eBay等网站上）来获取设备标识符。

第二个漏洞CVE-2025-5485是一个可观察到的响应差异。此漏洞与用户名的结构有关；用户名是数字标识符，最多10位。这使得恶意攻击者只需尝试不同的数字序列（例如，从已知标识符向上或向下计数，或尝试随机数）即可猜出有效的用户名。

如果成功，攻击者可以控制联网车辆，可能追踪其行踪，甚至切断燃油泵的电源（如果支持）。

这些漏洞被认为非常严重，其中一个漏洞CVE-2025-5485的CVSS v4评分为8.8。截至目前，CISA尚未收到有关这些特定漏洞在公开攻击中被积极利用的报告。

SinoTrack尚未回应CISA的信息请求，也未提供这些问题的修复方案。因此，强烈建议用户立即采取措施保护其设备。最关键的步骤是通过提供的管理界面将默认密码更改为一个安全且唯一的密码。

此外，隐藏设备标识符也很重要。如果带有标识符的贴纸出现在任何公开照片中，建议移除或替换这些照片，以防止攻击者找到此信息。

CISA还建议采取一般的网络安全措施，例如谨慎点击可疑电子邮件中的链接，以避免进一步的风险。