Η Ford λέει ότι τα αυτοκίνητα με ευπάθεια WiFi εξακολουθούν να είναι ασφαλή για οδήγηση
Η Ford προειδοποιεί για μια ευπάθεια υπερχείλισης buffer στο σύστημα ψυχαγωγίας SYNC3 που χρησιμοποιείται σε πολλά οχήματα Ford και Lincoln, το οποίο θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα, αλλά λέει ότι η ασφάλεια οδήγησης του οχήματος δεν επηρεάζεται.
Το SYNC3 είναι ένα σύγχρονο σύστημα infotainment που υποστηρίζει σημεία πρόσβασης WiFi εντός του οχήματος, συνδεσιμότητα τηλεφώνου, φωνητικές εντολές, εφαρμογές τρίτων και πολλά άλλα.
Το συγκεκριμένο σύστημα χρησιμοποιείται στα ακόλουθα μοντέλα αυτοκινήτων:
- Ford EcoSport (2021 – 2022)
- Ford Escape (2021 – 2022)
- Ford Bronco Sport (2021 – 2022)
- Ford Explorer (2021 – 2022)
- Ford Maverick (2022)
- Ford Expedition (2021)
- Ford Ranger (2022)
- Ford Transit Connect (2021 – 2022)
- Ford Super Duty (2021 – 2022)
- Ford Transit (2021 – 2022)
- Ford Mustang (2021 – 2022)
- Ford Transit CC-CA (2022)
Κοντινοί επιτιθέμενοι
Η ευπάθεια παρακολουθείται ως CVE-2023-29468 και βρίσκεται στο πρόγραμμα οδήγησης WL18xx MCP για το υποσύστημα WiFi που είναι ενσωματωμένο στο σύστημα ενημέρωσης και ψυχαγωγίας του αυτοκινήτου, το οποίο επιτρέπει σε έναν εισβολέα στην εμβέλεια WiFi να πυροδοτεί υπερχείλιση buffer χρησιμοποιώντας ένα ειδικά κατασκευασμένο πλαίσιο.
“Ένας εισβολέας εντός της ασύρματης εμβέλειας μιας δυνητικά ευάλωτης συσκευής μπορεί να αποκτήσει τη δυνατότητα να αντικαταστήσει τη μνήμη του κεντρικού επεξεργαστή εκτελώντας το πρόγραμμα οδήγησης MCP”, αναφέρει ο πωλητής συστήματος
δελτίο ασφαλείας
.
Η Ford ενημερώθηκε από τον προμηθευτή για την ανακάλυψη του ελαττώματος του WiFi και έλαβε άμεσα μέτρα για την επικύρωσή του, την εκτίμηση των επιπτώσεων και την ανάπτυξη μέτρων μετριασμού.
Σε μια δήλωση που δημοσιεύτηκε στην πύλη πολυμέσων της Ford, η αυτοκινητοβιομηχανία υπόσχεται να διαθέσει σύντομα μια ενημερωμένη έκδοση κώδικα λογισμικού, την οποία οι πελάτες θα μπορούν να φορτώσουν σε ένα USB stick και να εγκαταστήσουν στα οχήματά τους.
«Σύντομα, η Ford θα εκδώσει μια ενημέρωση κώδικα λογισμικού online για λήψη και εγκατάσταση μέσω USB», αναφέρει
Η ανακοίνωση της Ford
.
«Εν τω μεταξύ, οι πελάτες που ανησυχούν για την ευπάθεια μπορούν απλώς να απενεργοποιήσουν τη λειτουργία WiFi μέσω του μενού Ρυθμίσεις του συστήματος ψυχαγωγίας SYNC 3».
Για να κατευνάσει περαιτέρω τυχόν ανησυχίες, η αμερικανική αυτοκινητοβιομηχανία δήλωσε επίσης ότι το ελάττωμα δεν είναι εύκολο να εκμεταλλευτεί κανείς, και ακόμη και σε αυτό το απίθανο σενάριο, δεν θα έθετε σε κίνδυνο την ασφάλεια των στοχευμένων οχημάτων.
«Μέχρι σήμερα, δεν έχουμε δει κανένα στοιχείο ότι αυτή η ευπάθεια έχει εκμεταλλευτεί, κάτι που πιθανότατα θα απαιτούσε σημαντική τεχνογνωσία και θα περιλάμβανε επίσης τη φυσική παρουσία σας κοντά σε ένα μεμονωμένο όχημα που έχει ενεργοποιημένη την ανάφλεξη και τη ρύθμιση WiFi», εξηγεί η Ford.
«Η έρευνά μας διαπίστωσε επίσης ότι εάν αυτή η ευπάθεια εκμεταλλευόταν, όσο απίθανο, δεν θα επηρεάσει την ασφάλεια των επιβατών του οχήματος, καθώς το σύστημα infotainment είναι προστατευμένο από χειριστήρια όπως το τιμόνι, το γκάζι και το φρενάρισμα».
Τέλος, η εταιρεία καλεί όσους ερευνητές ασφαλείας έχουν ανακαλύψει τρωτά σημεία στα οχήματά της να υποβάλουν τις αναφορές τους απευθείας στο
Το πρόγραμμα HackerOne
μέσω του οποίου έχει επιλύσει μέχρι στιγμής σχεδόν 2.500 σφάλματα.
