Ford отрицает опасность вождения автомобилей с уязвимостью Wi-Fi13.08.2023 10:16

Ford предупредил об уязвимости переполнения буфера в своей информационно-развлекательной системе SYNC3, используемой во многих автомобилях. Она потенциально может обеспечить удалённое выполнение кода. Несмотря на это, компания заявляет, что уязвимость не влияет на безопасность вождения автомобиля.

97098f6c069387c4798a4bafae5df62d.jpg

SYNC3 — это информационно-развлекательная система, которая поддерживает автомобильные точки доступа Wi-Fi, подключение к телефону, голосовые команды, сторонние приложения и многое другое.

Данная система используется в следующих моделях:

  • Ford EcoSport (2021 — 2022),

  • Ford Escape (2021 — 2022),

  • Ford Bronco Sport (2021 — 2022),

  • Ford Explorer (2021 — 2022),

  • Ford Maverick (2022),

  • Ford Expedition (2021),

  • Ford Ranger (2022),

  • Ford Transit Connect (2021 — 2022),

  • Ford Super Duty (2021 — 2022),

  • Ford Transit (2021 — 2022),

  • Ford Mustang (2021 — 2022),

  • Ford Transit CC-CA (2022).

Уязвимость отслеживается как CVE-2023–29468 и находится в MCP-драйвере WL18xx для подсистемы Wi-Fi, встроенной в информационно-развлекательную систему автомобиля. Она позволяет злоумышленнику, находящемуся в диапазоне работы Wi-Fi, вызвать переполнение буфера с помощью специально созданного фрейма.

Поставщик проинформировал Ford об обнаружении дефекта, и компания приняла меры для оценки последствий и разработки средств защиты.

Автопроизводитель обещает вскоре выпустить исправление программного обеспечения, которое клиенты смогут загрузить на USB-накопитель и установить на свои автомобили. Пока же им советуют просто отключить функцию Wi-Fi через меню настроек SYNC 3.

Ford уверяет, что эту уязвимость нелегко использовать, и даже в таком маловероятном сценарии она не поставит под угрозу безопасность транспортных средств. Компания подчёркивает, что информационно-развлекательная система защищена брандмауэром в части управления авто.

Ранее инженер по безопасности Yuga Labs Сэм Карри обнаружил в Ford уязвимости, которые позволяют раскрыть персональные данные владельца и токены доступа для отслеживания и выполнения команд на автомобиле.

© Habrahabr.ru