CISO Advisor: 257.104 page views/mês - 97.376 usuários/mês - 5.277 assinantes

Ford diz que bug em Wi-Fi de veículos não afeta dirigibilidade

Da Redação
13/08/2023

A Ford está alertando sobre uma vulnerabilidade de estouro de buffer em seu sistema de infoentretenimento SYNC3 usado em muitos veículos Ford e Lincoln, o que pode permitir a execução remota de código (RCE), embora enfatize que a segurança de direção dos veículos não é afetada.

O SYNC3 é um sistema de infoentretenimento moderno que oferece suporte a pontos de acesso Wi-Fi no veículo, conectividade telefônica, comandos de voz, aplicativos de terceiros e muito mais. O sistema é usado nos seguintes modelos de carros:

  • Ford EcoSport (2021 – 2022)
  • Ford Fuga (2021 – 2022)
  • Ford Bronco Sport (2021 – 2022)
  • Ford Explorer (2021 – 2022)
  • Ford Maverick (2022)
  • Expedição Ford (2021)
  • Ford Ranger (2022)
  • Ford Transit Connect (2021 – 2022)
  • Ford Super Duty (2021 – 2022)
  • Ford Transit (2021 – 2022)
  • Ford Mustang (2021 – 2022)
  • Ford Transit CC-CA (2022)

A vulnerabilidade é rastreada como CVE-2023-29468 e está no driver WL18xx MCP para o subsistema Wi-Fi incorporado no sistema de infoentretenimento do carro, que permite que um invasor no alcance do Wi-Fi acione o estouro de buffer usando um quadro especialmente criado. “Um invasor dentro do alcance sem fio de um dispositivo vulnerável pode obter a capacidade de sobrescrever a memória do processador host que executa o driver MCP”, diz o boletim de segurança da fornecedora do sistema.

A Ford foi informada pela fornecedora sobre a descoberta da falha do Wi-Fi e tomou medidas imediatas para validá-la, estimar o impacto e desenvolver medidas de mitigação.

Em nota divulgada no portal de mídia da Ford, a montadora promete disponibilizar em breve um patch de software, que os clientes poderão carregar em um pendrive e instalar em seus veículos. “Em breve, a Ford lançará um patch de software online para download e instalação via USB”, diz a nota da Ford. “Enquanto isso, os clientes que estão preocupados com a vulnerabilidade podem simplesmente desligar a funcionalidade WiFi através do menu Configurações do sistema de infoentretenimento SYNC 3.”

Veja isso
Honda fecha rede global para resolver ataque de ransomware
Serviços da KIA America exibem problemas no site e em aplicativos

Para apaziguar ainda mais as preocupações, a montadora americana também afirmou que a falha não é fácil de ser explorada e, mesmo nesse cenário improvável, não colocaria em risco a segurança dos veículos visados. “Até o momento, não vimos nenhuma evidência de que essa vulnerabilidade tenha sido explorada, o que provavelmente exigiria experiência significativa e também incluiria estar fisicamente perto de um veículo individual com a ignição e o Wi-Fi ativados”, explica a Ford.

“Nossa investigação também descobriu que se essa vulnerabilidade fosse explorada, embora improvável, não afetaria a segurança dos ocupantes do veículo, uma vez que o sistema de infoentretenimento é protegido por firewall de controles como direção, aceleração e frenagem”, afirma a montadora.

Por fim, a empresa convida todos os pesquisadores de segurança que descobriram vulnerabilidades em seus veículos a enviar seus relatórios diretamente no programa HackerOne da empresa, por meio do qual já resolveu cerca de 2.500 bugs.

Compartilhar: