Af Eskil Sørensen, 14/08/23
Bilproducenten Ford er kommet med en bizar udmelding, efter at der er opdaget en bufferoverflowsårbarhed i et SYNC3 infotainmentsystem, der bruges i mange Ford- og Lincoln-køretøjer. Sårbarheden har id’et CVE-2023-29468 og findes i WL18xx MCP-driveren til WiFi-systemet.
Historien er at læse i Bleeping Computer, der fortæller, at SYNC3 er et infotainmentsystem, der understøtter WiFi-hotspots i køretøjer, telefonforbindelse, stemmekommandoer, tredjepartsapplikationer mm.
Sårbarheden kan ved udnyttelse gøre det muligt at afvikle kode fra ’remote’. I it-sikkerhedssprog betyder det almindeligvis, at en ejer kan miste styringen over eget system. Tager man denne virkning bogstaveligt ift et system, der anvendes i biler, må det nødvendigvis betyde, at en ejer risikerer at miste herredømmet over sin bil. Men dette er ikke tilfældet, kan Fort berolige Ford-bilejere med.
Spørgsmålet er, om man så som ejer af en Fordbil bliver beroliget af det. At det overhovedet skulle være nødvendigt med en sådan udmelding viser, at et hackerangreb på en bil rent faktisk kan medføre, at en ejer mister herredømmet. Hvilket tidligere er blevet påvist ved andre biltyper.
Slå WiFi fra
I dette tilfælde kræver en udnyttelse ’betydelig’ ekspertise, skriver Ford i en erklæring, da en angriber skal være inden for WiFi-rækkevidde og anvende en specialfremstillet ramme for at udløse bufferoverflow’et.
Den pågældende driver er udviklet af en underleverandør, som har orienteret Ford om fejlen. Ford har modsat ’valideret den, estimeret virkningen og udviklet afværgeforanstaltninger.’ Det er så på den baggrund, at Ford har konstateret, at det stadig er sikkert at køre i biler med WiFi-sårbarheden.
Ford skriver yderligere, at man snart vil gøre en softwarepatch tilgængelig, som bilejerne kan installere på deres køretøjer. Denne vil være online til download og installation via USB. Så må man håbe, at Ford har styr på sin supply chain. Er man trods Fords oplysninger om, at ’..det ikke vil påvirke sikkerheden for passagerer i køretøjet, da infotainmentsystemet er firewalled fra kontrolelementer som styring, gassen og bremsning’, stadig utryg, kan man slå WiFi’en fra.
Ford har inviteret alle sikkerhedsresearchere, der har opdaget sårbarheder i Fords køretøjer, til at indsende rapporter direkte på virksomhedens HackerOne-program. Dette har ifølge Bleeping Computer indtil videre medført rettelse af næsten 2.500 fejl.
Puha, så er man mere rolig. Vil du tjekke om din bil er omfattet af sårbarheden, er der på Bleeping Computers artikel en liste med de pågældende modeller. De er alle fra 2021 eller 2022.
Links: