Ford выпустил заявление, подтверждающее, что некоторые из его спортивных автомобилей Mustang и несколько других транспортных средств имеют уязвимость Wi-Fi, которая теоретически может позволить хакеру запустить удаленную атаку с выполнением кода. Тем не менее, Ford гарантирует владельцам затронутых автомобилей, что уязвимость не представляет угрозы для безопасности водителя или пассажиров.

Недостаток существует в драйвере Texas Instruments MCP (WL18xx), используемом в автомобилях, которые сошли с конвейера с информационно-развлекательной системой Ford SYNC 3. Используя специально созданный фрейм, злоумышленник может вызвать переполнение буфера.

Уязвимость отслеживается как CVE-2023-29468 с диапазоном базовых оценок CVSS от 8,8 до 9,6.

"Более высокий базовый балл отражает высокий уровень влияния на конфиденциальность и целостность. Однако некоторые системы могут иметь низкий уровень влияния на конфиденциальность или целостность в зависимости от характеристик хост-процессора, на котором выполняется драйвер WL18xx MCP, а также от модификации памяти, к которой можно получить доступ. Это представляет собой серьезную проблему", - говорится в бюллетене по безопасности Texas Instruments.

Ford заявляет, что не видит никаких доказательств того, что уязвимость Wi-Fi действительно использовалась. Автопроизводитель также сообщил, что использовать уязвимость непросто, отмечая, что это "вероятно потребует значительного опыта". Кроме того, хакер должен находиться физически рядом с уязвимым транспортным средством, которое в свою очередь, должно быть с заведеным двигателем и иметь включенную функцию Wi-Fi.

"Наше расследование также показало, что использование этой уязвимости, хотя и маловероятной, не повлияет на безопасность пассажиров автомобиля, поскольку информационно-развлекательная система защищена брандмауэром от таких элементов, как рулевое управление, дросселирование и торможение", - заявляет Ford.

Система Ford SYNC 3 доступна как минимум для дюжины моделей автомобилей, включая Bronco Sport, EcoSport, Escape, Expedition, Explorer, Maverick, Mustang, Ranger, Super Duty, Transit, Transit CC-CA и Transit Connect.

Поступали сообщения о том, что это в основном касается автомобилей 2021 и 2022 модельных годов, хотя эта информация может быть неточной. Ford сделал свое программное обеспечение SYNC 3 доступным для нескольких старых моделей, включая Mustang 2015 года и новее. Уязвимость существует в модуле Wi-Fi, а не в самом транспортном средстве, но если старые автомобили используют ту же систему Wi-Fi, что и новые модели, они также могут быть затронуты.

Ford планирует выпустить исправление для устранения уязвимости Wi-Fi, которое будет доступно для загрузки и установки через USB. Тем временем Ford рекомендует всем, кто беспокоится о безопасности, отключить функцию Wi-Fi через меню "Настройки" в своей системе SYNC 3.