Ford, birçok Ford ve Lincoln aracında kullanılan SYNC3 bilgi-eğlence sisteminde, uzaktan kod yürütülmesine izin verebilecek bir tampon taşması güvenlik açığı konusunda uyarıda bulunuyor, ancak aracın sürüş güvenliğinin etkilenmediğini söylüyor.
SYNC3, araç içi WiFi erişim noktalarını, telefon bağlantısını, sesli komutları, üçüncü taraf uygulamaları ve daha fazlasını destekleyen modern bir bilgi-eğlence sistemidir.
Belirli sistem aşağıdaki araba modellerinde kullanılır:
- Ford EcoSport (2021 – 2022)
- Ford Kaçış (2021 – 2022)
- Ford Bronco Sport (2021 – 2022)
- Ford Kaşifi (2021 – 2022)
- Ford Maverick (2022)
- Ford Seferi (2021)
- Ford Korucusu (2022)
- Ford Transit Bağlantısı (2021 – 2022)
- Ford Süper Görev (2021 – 2022)
- Ford Transit (2021 – 2022)
- Ford Mustang (2021 – 2022)
- Ford Transit CC-CA (2022)
Yakındaki saldırganlar
Güvenlik açığı CVE-2023-29468 olarak izlenir ve aracın bilgi-eğlence sistemine dahil edilen WiFi alt sistemi için WL18xx MCP sürücüsünde bulunur; bu, WiFi aralığındaki bir saldırganın özel hazırlanmış bir çerçeve kullanarak arabellek taşmasını tetiklemesine olanak tanır.
Sistem satıcısının güvenlik bülteninde, “Potansiyel olarak savunmasız bir aygıtın kablosuz kapsama alanı içindeki bir saldırgan, MCP sürücüsünü yürüten ana bilgisayar işlemcisinin belleğinin üzerine yazma yeteneği kazanabilir” diyor.
Ford, tedarikçi tarafından WiFi kusurunun keşfedildiği konusunda bilgilendirildi ve bunu doğrulamak, etkisini tahmin etmek ve hafifletme önlemleri geliştirmek için hemen harekete geçti.
Ford’un medya portalında yayınlanan bir bildiride otomobil üreticisi, müşterilerin bir USB belleğe yükleyip araçlarına yükleyebilecekleri bir yazılım yamasını yakında kullanıma sunacağının sözünü veriyor.
Ford’un duyurusunda, “Yakında Ford, USB üzerinden indirilip kurulabilmesi için çevrimiçi bir yazılım yaması yayınlayacak” ifadesi yer alıyor.
Bu arada, güvenlik açığından endişe duyan müşteriler, SYNC 3 bilgi-eğlence sisteminin Ayarlar menüsünden WiFi işlevini kapatabilirler.”
Amerikalı otomobil üreticisi, herhangi bir endişeyi daha da yatıştırmak için, kusurdan yararlanmanın kolay olmadığını ve bu olası olmayan senaryoda bile, hedeflenen araçların güvenliğini riske atmayacağını da belirtti.
Ford, “Bugüne kadar, bu güvenlik açığından yararlanıldığına dair hiçbir kanıt görmedik; bu, büyük olasılıkla önemli bir uzmanlık gerektirecek ve ayrıca kontağı ve WiFi ayarı açık olan bireysel bir aracın fiziksel olarak yakınında bulunmayı da içerecektir,” diye açıklıyor Ford.
“Araştırmamız ayrıca, bu güvenlik açığından yararlanılması durumunda, olası olmasa da, araçta bulunanların güvenliğini etkilemeyeceğini, çünkü bilgi-eğlence sistemi direksiyon, kısma ve fren gibi kontrollere karşı güvenlik duvarına sahip olduğunu buldu.”
Son olarak şirket, araçlarında güvenlik açıkları keşfeden tüm güvenlik araştırmacılarını, raporlarını doğrudan şirketin bugüne kadar yaklaşık 2.500 hatayı çözdüğü HackerOne programına göndermeye davet ediyor.