A Ford está alertando sobre uma vulnerabilidade de estouro de buffer em seu sistema de infotainment SYNC3, usado em muitos veículos Ford e Lincoln, que poderia permitir a execução remota de código, mas diz que a segurança na direção do veículo não é afetada.
SYNC3 é um sistema moderno de infotainment que suporta pontos de acesso WiFi no veículo, conexão com telefone, comandos de voz, aplicativos de terceiros e muito mais.
A vulnerabilidade é rastreada como
CVE-2023-29468
e está no driver MCP WL18xx para o subsistema WiFi incorporado no sistema de infotainment do carro, que permite a um invasor dentro do alcance WiFi desencadear um estouro de buffer usando uma estrutura especialmente criada.
"Um invasor dentro do alcance sem fio de um dispositivo potencialmente vulnerável pode ganhar a capacidade de sobrescrever a memória do processador host que executa o driver MCP", diz o boletim de segurança do fornecedor do sistema.
A Ford foi informada pelo fornecedor sobre a descoberta da falha do WiFi e tomou medidas imediatas para validá-la, estimar o impacto e desenvolver medidas de mitigação.
Em uma declaração divulgada no portal de mídia da Ford, a fabricante de automóveis promete disponibilizar um patch de software em breve, que os clientes poderão carregar em um pen drive e instalar em seus veículos.
"Em breve, a Ford emitirá um patch de software online para download e instalação via USB", lê-se no anúncio da Ford.
"No ínterim, os clientes que estão preocupados com a vulnerabilidade podem simplesmente desligar a funcionalidade WiFi através do menu de Configurações do sistema de infotainment SYNC 3."
Para amenizar ainda mais quaisquer preocupações, a fabricante de automóveis americana também afirmou que a falha não é fácil de ser explorada, e mesmo naquele cenário improvável, não colocaria a segurança dos veículos visados em risco.
"Até o momento, não vimos evidências de que esta vulnerabilidade tenha sido explorada, o que provavelmente exigiria uma expertise significativa e também incluiria estar fisicamente perto de um veículo individual que tem sua ignição e configuração WiFi ligadas", explica a Ford.
"Nossa investigação também descobriu que, se esta vulnerabilidade fosse explorada, por mais improvável que fosse, não afetaria a segurança dos ocupantes do veículo, uma vez que o sistema de infotainment é protegido por um firewall dos controles como direção, aceleração e frenagem.”
Finalmente, a empresa convida qualquer pesquisador de segurança que tenha descoberto vulnerabilidades em seus veículos a enviar seus relatórios diretamente no programa HackerOne da empresa, através do qual até agora já resolveu quase 2.500 bugs.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...