Ford advierte sobre una vulnerabilidad de desbordamiento de búfer en su sistema de información y entretenimiento SYNC3 utilizado en muchos vehículos Ford y Lincoln, que podría permitir la ejecución remota de código, pero dice que la seguridad de conducción del vehículo no se ve afectada.
SYNC3 es un moderno sistema de infoentretenimiento que admite puntos de acceso WiFi en el vehículo, conectividad telefónica, comandos de voz, aplicaciones de terceros y más.
El sistema particular se utiliza en los siguientes modelos de automóviles:
Ford EcoSport (2021 – 2022), Escape Ford (2021 – 2022), Ford Bronco Deporte (2021 – 2022), Explorador de Ford (2021 – 2022), Ford Rebelde (2022), Ford Expedición (2021), Ford Ranger (2022), Ford Transit Connect (2021 – 2022), Ford Súper Servicio (2021 – 2022), Ford Tránsito (2021 – 2022), Ford Mustang (2021 – 2022), Ford Transit CC-CA (2022).
La vulnerabilidad se rastrea como CVE-2023-29468 y se encuentra en el controlador WL18xx MCP para el subsistema WiFi incorporado en el sistema de información y entretenimiento del automóvil, que permite a un atacante en el rango de WiFi activar el desbordamiento del búfer utilizando un marco especialmente diseñado.
El proveedor informó a Ford sobre el descubrimiento de la falla WiFi y tomó medidas inmediatas para validarla, estimar el impacto y desarrollar medidas de mitigación.
En un comunicado publicado en el portal de medios de Ford, el fabricante de automóviles promete que pronto estará disponible un parche de software, que los clientes podrán cargar en una memoria USB e instalar en sus vehículos.
Para apaciguar aún más cualquier preocupación, el fabricante de automóviles estadounidense también ha declarado que la falla no es fácil de explotar, e incluso en ese escenario poco probable, no pondría en riesgo la seguridad de los vehículos objetivo.
Finalmente, la compañía invita a cualquier investigador de seguridad que haya descubierto vulnerabilidades en sus vehículos a enviar sus informes directamente al programa HackerOne de la compañía, a través del cual hasta ahora ha resuelto cerca de 2500 errores.