Amerykański producent samochodów Ford twierdzi, iż luka w sterowniku Wi-Fi systemu informacyjno-rozrywkowego SYNC 3 w niektórych pojazdach Forda i Lincolna nie stanowi zagrożenia dla bezpieczeństwa.
Błąd, sklasyfikowany jako CVE-2023-29468, dotyczy sterownika Wi-Fi dostarczanego przez Texas Instruments, który używany jest w systemie informacyjno-rozrywkowym w co najmniej tuzinie pojazdów wspomnianego producenta.
Problem opisany został jako przepełnienie bufora, mogące prowadzić do zdalnego wykonania kodu. Osoba atakująca znajdująca się w zasięgu bezprzewodowym urządzenia, którego dotyczy problem, może uruchomić lukę dzięki specjalnie spreparowanej ramki.
W swoim poradniku TI wyjaśnia, iż ocena CVSS luki w zabezpieczeniach waha się od 8,8 do 9,6 w zależności od wpływu systemów, na które oddziałuje.
W odpowiedzi na ujawnienie błędu przez TI Ford ogłosił, iż współpracuje z producentem chipów w celu opracowania „środków mających na celu usunięcie luki”.
„Do tej pory nie widzieliśmy żadnych dowodów na to, iż ta luka została wykorzystana, co prawdopodobnie wymagałoby znacznej wiedzy specjalistycznej, a także fizycznej bliskości pojedynczego pojazdu, który ma włączony zapłon i Wi-Fi” – informuje Ford.
Producent zauważa również, iż luka, choćby jeżeli zostanie wykorzystana, nie stanowi zagrożenia dla „bezpieczeństwa pasażerów pojazdu, ponieważ system informacyjno-rozrywkowy jest odgrodzony »zaporą ogniową« od elementów sterujących takich jak kierowanie, przepustnica i hamowanie”.
Firma twierdzi, iż niedługo będzie dostępna do pobrania i zainstalowania, przez porty USB w samochodach, łatka oprogramowania. Jednocześnie zaleca właścicielom pojazdów wyłączenie Wi-Fi.
„Klienci, którzy obawiają się luki w zabezpieczeniach, mogą po prostu wyłączyć funkcję Wi-Fi w menu Ustawienia systemu informacyjno-rozrywkowego SYNC 3. Klienci mogą również dowiedzieć się online, czy ich pojazdy są wyposażone w system SYNC 3” – podaje Ford.
Według Forda system multimedialny SYNC 3 jest dostępny w modelach Mustang, Super Duty, Transit, Transit Connect, Bronco Sport, Expedition, Explorer, Escape i EcoSport z 2021 roku, a także Mustang, Super Duty Retail, Transit, Transit Connect z 2022 roku. Luka dotyczy również modeli Maverick, Ranger, Bronco Sport, Explorer, Escape i EcoSport.
Nie jest to pierwszy przypadek powiązany z przemysłem motoryzacyjnym, który omawiamy. Nie tak dawno pisaliśmy o włamaniu do Ferrari.