Phát hiện lỗ hổng GPS trong SinoTrack

09:30 | 17/06/2025

Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) phát đi cảnh báo về các lỗ hổng bảo mật tồn tại trong nền tảng định vị GPS của SinoTrack. Các lỗ hổng này có thể cho phép kẻ tấn công theo dõi vị trí phương tiện và thực hiện các hành vi nguy hiểm như ngắt nguồn bơm nhiên liệu, nếu thiết bị có khả năng tương tác với hệ thống điều khiển của xe.

Cụ thể, hai lỗ hổng có định danh CVE-2025-5484 và CVE-2025-5485. Các lỗ hổng này được báo cáo bởi chuyên gia bảo mật Raúl Ignacio Cruz Jiménez. Đáng lưu ý, tính đến thời điểm hiện tại, các lỗ hổng vẫn chưa được vá.

SinoTrack là nhà sản xuất có trụ sở tại Trung Quốc, chuyên cung cấp thiết bị định vị GPS và giải pháp quản lý đội xe. Theo công bố của hãng, hơn 6 triệu thiết bị GPS của SinoTrack đang được triển khai trên toàn cầu.

Hai lỗ hổng nêu trên ảnh hưởng đến toàn bộ phiên bản của nền tảng IOT PC, vốn là hệ thống kết nối thiết bị GPS với giao diện quản lý qua web hoặc ứng dụng. Giao diện này cung cấp các chức năng như bảng điều khiển, cảnh báo và tùy theo từng mẫu thiết bị, có thể điều khiển từ xa một số chức năng của xe.

Thiết bị GPS SinoTrack sử dụng cơ chế xác thực gồm: ID thiết bị duy nhất (tối đa 10 chữ số) và mật khẩu. Tuy nhiên, ID này thường được in trực tiếp trên thiết bị, khiến kẻ tấn công có thể dễ dàng thu thập thông tin nếu có quyền truy cập vật lý hoặc thông qua hình ảnh công khai.

CISA cũng cảnh báo rằng kẻ tấn công có thể liệt kê các mục tiêu tiềm năng bằng cách tăng hoặc giảm số từ một ID đã biết hoặc thử ngẫu nhiên các chuỗi số. Do đó, CISA khuyến nghị người dùng cần thay đổi mật khẩu mặc định thành mật khẩu mạnh và duy nhất; ẩn hoặc xóa hình ảnh chứa ID thiết bị nếu đang công khai trên mạng. Đồng thời, không sử dụng thiết bị nếu không thể đảm bảo an toàn xác thực.

Năm 2022, các nhà nghiên cứu tại BitSight đã phát hiện lỗ hổng tương tự trong một mẫu thiết bị GPS của hãng MiCODUS (Trung Quốc). Khác với SinoTrack, MiCODUS đã phát hành bản vá để khắc phục sự cố.

Lỗ hổng bảo mật trong thiết bị GPS SinoTrack là một ví dụ điển hình về rủi ro an ninh mạng trong hệ thống IoT gắn với phương tiện giao thông. Việc sử dụng cơ chế xác thực yếu, không bắt buộc thay đổi mật khẩu và công khai thông tin định danh thiết bị đã tạo điều kiện cho kẻ tấn công dễ dàng khai thác.

Các tổ chức, cá nhân sử dụng thiết bị SinoTrack cần ngay lập tức thực hiện các biện pháp bảo vệ, đồng thời cân nhắc thay thế thiết bị nếu nhà sản xuất không có động thái khắc phục.