.
A Ford sugeriu que os proprietários de veículos equipados com seu sistema de infoentretenimento SYNC 3 desativem o Wi-Fi para que alguém próximo não explore uma vulnerabilidade de estouro de buffer e sequestre o equipamento.
De acordo com [PDF] Texas Instruments, fabricante do chipset Wi-Fi vulnerável em veículos Ford, a falha merece um 9,6 na escala de gravidade CVSS de 10 pontos no pior e um 8,8 no mínimo. A exploração bem-sucedida requer que um invasor esteja dentro do alcance sem fio.
Ainda assim, a Ford quer que os proprietários de veículos afetados saibam que o problema não torna seus carros inseguros para dirigir. “Nós [immediately] começou a desenvolver e validar medidas para lidar com a vulnerabilidade”, disse Ford disse.
“Até o momento, não vimos nenhuma evidência de que essa vulnerabilidade tenha sido explorada, o que provavelmente exigiria conhecimento significativo… [and] não afetaria a segurança dos ocupantes do veículo, já que o sistema de infoentretenimento é protegido por firewall de controles como direção, aceleração e frenagem”, acrescentou a montadora de Detroit.
O problema está nos MCPs Wi-Fi da série WiLink WL18xx da TI, cujo firmware não limita o número de alguns elementos de informação que podem ser analisados em um quadro de gerenciamento. “Usando um quadro especialmente criado, pode ser acionado um estouro de buffer que pode potencialmente levar à execução remota de código”, disse TI.
A vulnerabilidade pode ser desencadeada por qualquer pessoa dentro do alcance do Wi-Fi, acrescentou TI.
A Ford disse que está trabalhando em um patch que os usuários podem baixar e instalar via USB, embora não haja menção a um cronograma para o lançamento do patch manual ou uma eventual atualização over-the-air.
Um porta-voz da Ford disse o Reg que assim que a atualização de software estiver disponível, se os clientes optarem por conectar a funcionalidade SYNC 3 Wi-Fi a uma rede (como um sistema Wi-Fi doméstico), eles poderão receber essa atualização por meio de entrega OTA. Ele acrescentou: “Como afirma a divulgação, o patch de software estará disponível em breve, pois estamos na fase final de teste e validação antes de disponibilizá-lo aos clientes”.
Enquanto espera pelo patch, a Ford diz que os proprietários preocupados de veículos afetados podem ativar wi-fi funcionalidade desativada no menu Configurações do SYNC 3 para evitar exploração.
O SYNC 3 foi enviado com pelo menos veículos do ano modelo 2021 e 2022, incluindo o Ford Escape, Explorer, Mustang, Transit e Super Duty. Aqueles que não têm certeza se têm SYNC 3 podem descobrir aqui.
Não está claro em quais outros dispositivos os chips da série Texas Instruments WL18xx podem ser usados para aplicações automotivas ou outras. Em sua documentação para a vulnerabilidade, a TI não menciona planos para seu próprio patch para resolver o problema. Em vez disso, a TI recomenda inserir uma nova linha de código em um dos arquivos do driver para limitar o número de elementos que podem ser analisados antes de gerar um erro.
Strong The One não teve resposta imediata da Texas Instruments. ®
.
