Компания Ford сообщила на своем сайте о серьезной уязвимости, выявленной в информационно-развлекательной системе SYNC3, которой оснащены многие модели компании. Система SYNC3 позволяет создать в автомобиле точку доступа WiFi, обеспечивает подключение мобильных телефонов, выполнение голосовых команд и поддерживает немало других полезных функций. Системой оснащены, например, модели Ford Escape, Ford Explorer, Ford Expedition, Ford Transit и Ford Mustang, а также многие другие модели выпуска 2021-2022 годов.

Выявленная в SYNC3 уязвимость имеет идентификатор CVE-2023-29468, и уровень ее опасности оценивается в 8,8 – 9,6 балла по десятибалльной шкале (в зависимости от используемого процессора). В любом случае очевидно, что уязвимость представляет серьезную угрозу. Ее эксплуатация потенциально позволяет злоумышленнику, находящемуся в зоне действия точки доступа WiFi осуществить атаку с переполнением буфера и выполнить произвольный код.

Представители Ford подчеркивают, что работа над обновлением ПО, исправляющим уязвимость, уже ведется, и в скором времени оно будет доступно автовладельцам. Правда, им придется загрузить обновление безопасности с сайта компании на USB-носитель, а затем уже с этого носителя в систему автомобиля. Пока же компания заверяет своих клиентов, что эксплуатация уязвимости весьма сложна. Но даже если хакерам удастся осуществить атаку, она никак не затронет системы, связанные с управлением автомобилем: информационно-развлекательная система SYNC3 отделена от них межсетевым защитным экраном. Таким образом, физической безопасности водителей и пассажиров уязвимых Ford ничто не угрожает. Ну а тем, кто заботится об информационной безопасности стоит пока отключить WiFi функционал в системе SYNC3.