Ford ha avvertito i propri clienti di vulnerabilità di overflow del buffer nel suo sistema Infotainment Sync 3 utilizzato in molti veicoli del colosso automobilistico. Questa falla andrebbe a consentire potenzialmente l’esecuzione di codice remoto: un grosso problema lato privacy ma che, a livello pratico, non andrebbe a influenzare in alcun modo la guida.
Sync 3 è un moderno sistema di infotainment che supporta hotspot Wi-Fi all’interno del veicolo, connettività telefonica, comandi vocali, applicazioni di terze parti e altro ancora.
Il sistema in questione viene regolarmente adottato dai seguenti modelli di auto:
- Ford EcoSport (2021 – 2022)
- Ford Escape (2021 – 2022)
- Ford Bronco Sport (2021 – 2022)
- Ford Explorer (2021 – 2022)
- Ford Maverick (2022)
- Ford Expedition (2021)
- Ford Ranger (2022)
- Ford Transit Connect (2021 – 2022)
- Ford Super Duty (2021 – 2022)
- Ford Transit (2021 – 2022)
- Ford Mustang (2021 – 2022)
- Ford Transit CC-CA (2022)
Alla vulnerabilità in questione è stato assegnato il nome CVE-2023-29468 e, nello specifico, coinvolge il driver MCP WL18xx per il sottosistema Wi-Fi incorporato nel sistema di infotainment dell’auto. Ciò consente a un utente malintenzionato nel raggio d’azione del Wi-Fi di attivare l’overflow del buffer.
Secondo il bollettino di sicurezza presentato da Ford “Un utente malintenzionato all’interno della portata wireless di un dispositivo potenzialmente vulnerabile può acquisire la capacità di sovrascrivere la memoria del processore host che esegue il driver MCP“.
Auto Ford e vulnerabilità Wi-Fi: le rassicurazioni del produttore
Una volta scoperta la criticità, Ford ha agito prontamente, con alcuni provvedimenti per stimare l’impatto, i possibili rischi e soprattutto le misure per mitigare gli stessi.
In un comunicato diffuso attraverso il sito Web ufficiale di Ford, la casa automobilistica promette di rendere presto disponibile una patch software, che i clienti potranno caricare su una chiavetta USB e installare sui propri veicoli. Nell’annuncio, si legge come “Presto, Ford rilascerà una patch software online per il download e l’installazione tramite USB“.
Allo stesso tempo, l’azienda ha però anche voluto rassicurare i guidatori “Ad oggi, non abbiamo visto alcuna prova che questa vulnerabilità sia stata sfruttata, il che richiederebbe probabilmente una notevole esperienza e includerebbe anche l’essere fisicamente vicino a un singolo veicolo con l’accensione e l’impostazione Wi-Fi attiva“.
In ogni caso, come ricorda Ford “Nel frattempo, i clienti che sono preoccupati per la vulnerabilità possono semplicemente disattivare la funzionalità Wi-Fi tramite il menu Impostazioni del sistema di infotainment Sync 3“.