Kısa bir süre önce, Ford’un SYNC 3 eğlence sisteminde kullandığı Wi-Fi sürücüsünde bir arabellek taşması güvenlik açığı keşfedildi. Güvenlik açığının belirlenmesinin ardından Ford, ilgili tarafları hızlı bir şekilde bilgilendirdi ve bilgileri kamuoyuna açıkladı. Bilgisayar korsanlarının bir aracın birçok işlevinden birini kötüye kullanarak ele geçirebileceği yaygın bir bilgidir; ancak bu tür siber saldırıların gerçek dünyada başarılı bir şekilde uygulanması hala zordur.
Anında ve felaketle sonuçlanabilecek bazı güvenlik açıkları olsa bile, diğer kusurlar, potansiyel tehlike aktörlerinin zayıf yönlerden yararlanarak otomobillere uzaktan erişmesine ve otomobilleri çalıştırmasına olanak tanır. Bu teknolojinin Ford ve Lincoln otomobillerinde yaygın olarak kullanılması nedeniyle, bu teknolojinin başarılı bir şekilde kullanılması güvenlik açığı, tehdit aktörlerine uzaktan kod yürütme yeteneği sağlayabilir.
“CVE-2023-29468” takip numarası verilen bu hata, Wi-Fi modülleri sağlayan Texas Instruments’a (TI) güvenlik açığı hakkında bilgi veren bir araştırmacı tarafından keşfedildi.
Bir yönetim çerçevesinde ayrıştırılabilecek XCC_EXT_1_IE_ID veya XCC_EXT_2_IE_ID türündeki bilgi öğelerinin (IE’ler) miktarı, TI WiLink WL18xx MCP sürücüsü tarafından hiçbir şekilde kısıtlanmaz. Uzak kodun yürütülmesiyle sonuçlanma potansiyeline sahip özel olarak tasarlanmış bir çerçeve kullanılarak bir arabellek taşması tetiklenebilir. CVSS tarafından atanan puan: Bu endişe için CVSS taban puanı 8,8 ila 9,6 arasında değişebilir.
WILINK8-WIFI-MCP8 sürümleri 8.5_SP3 ve öncesi, etkilenen ürünler listesine dahildir. Sesli komutlar, araç içi WiFi ve bağlantı, SYNC3 bilgi-eğlence sistemiyle standart olarak gelen özelliklerden yalnızca birkaçıdır. Sorun, Ford müşterilerini etkiliyor, ancak herhangi bir istismarın kullanıldığına dair herhangi bir rapor yok.
Ayrıca bir saldırının etkili olabilmesi için saldırganların açıkta bulunan, çalışan ve Wi-Fi özelliği etkinleştirilmiş bir motora yakın olması gerekiyor. Ford’un analizinin bulgularına göre bu güvenlik açığının herhangi bir etkisi olmayacak arabanın güvenliği. Bunun nedeni, bilgi-eğlence sistemi güvenlik duvarının direksiyon, fren ve gaz kelebeği ile kontrol girişimini yasaklamasıdır. Buna ek olarak Ford, USB kurulumu için çevrimiçi yazılım yamasının çok yakında kullanıma sunulacağını garanti etmiştir. Bu güvenlik açığından endişe duyan müşteriler, SYNC 3’ün Ayarlar menüsünden Wi-Fi bağlantısını devre dışı bırakabilir veya araçlarının SYNC 3 bağlantısının durumunu çevrimiçi olarak kontrol edebilir.
SYNC 3 Wi-Fi özelliğini bir ağa (ev Wi-Fi sistemi gibi) bağlamayı seçen müşteriler, bir yazılım güncellemesi kullanıma sunulduğunda bu güncellemeyi kablosuz olarak (OTA) indirebilecekler. Ford’un temsilcisi. Bu bilgi Ford sözcüsü tarafından sağlandı.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.