Ford diz que carros com vulnerabilidade WiFi ainda são seguros para dirigir
14 de Agosto de 2023

A Ford está alertando sobre uma vulnerabilidade de estouro de buffer em seu sistema de infotainment SYNC3, usado em muitos veículos Ford e Lincoln, que poderia permitir a execução remota de código, mas diz que a segurança na direção do veículo não é afetada.

SYNC3 é um sistema moderno de infotainment que suporta pontos de acesso WiFi no veículo, conexão com telefone, comandos de voz, aplicativos de terceiros e muito mais.

A vulnerabilidade é rastreada como CVE-2023-29468 e está no driver MCP WL18xx para o subsistema WiFi incorporado no sistema de infotainment do carro, que permite a um invasor dentro do alcance WiFi desencadear um estouro de buffer usando uma estrutura especialmente criada.

"Um invasor dentro do alcance sem fio de um dispositivo potencialmente vulnerável pode ganhar a capacidade de sobrescrever a memória do processador host que executa o driver MCP", diz o boletim de segurança do fornecedor do sistema.

A Ford foi informada pelo fornecedor sobre a descoberta da falha do WiFi e tomou medidas imediatas para validá-la, estimar o impacto e desenvolver medidas de mitigação.

Em uma declaração divulgada no portal de mídia da Ford, a fabricante de automóveis promete disponibilizar um patch de software em breve, que os clientes poderão carregar em um pen drive e instalar em seus veículos.

"Em breve, a Ford emitirá um patch de software online para download e instalação via USB", lê-se no anúncio da Ford.


"No ínterim, os clientes que estão preocupados com a vulnerabilidade podem simplesmente desligar a funcionalidade WiFi através do menu de Configurações do sistema de infotainment SYNC 3."

Para amenizar ainda mais quaisquer preocupações, a fabricante de automóveis americana também afirmou que a falha não é fácil de ser explorada, e mesmo naquele cenário improvável, não colocaria a segurança dos veículos visados ​​em risco.

"Até o momento, não vimos evidências de que esta vulnerabilidade tenha sido explorada, o que provavelmente exigiria uma expertise significativa e também incluiria estar fisicamente perto de um veículo individual que tem sua ignição e configuração WiFi ligadas", explica a Ford.

"Nossa investigação também descobriu que, se esta vulnerabilidade fosse explorada, por mais improvável que fosse, não afetaria a segurança dos ocupantes do veículo, uma vez que o sistema de infotainment é protegido por um firewall dos controles como direção, aceleração e frenagem.”

Finalmente, a empresa convida qualquer pesquisador de segurança que tenha descoberto vulnerabilidades em seus veículos a enviar seus relatórios diretamente no programa HackerOne da empresa, através do qual até agora já resolveu quase 2.500 bugs.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...