經 Wi-Fi 入侵使用公共無線網路熱點的手機或筆電早不是新鮮事,同樣支援 Wi-Fi 的車用資訊娛樂系統(俗稱車機系統)也會有連網時被駭客入侵的風險。福特汽車(Ford)最近警告,許多福特車款及林肯車系 SYNC3 車載資訊娛樂系統發現有緩衝區溢位漏洞,會導致遠端程式碼執行風險。
SYNC3 車載資訊娛樂系統支援車內 Wi-Fi 熱點、手機連接、語音命令、第三方應用程式等功能。這次編號 CVE-2023-29468 的漏洞在 SYNC3 系統 Wi-Fi 子系統的 WL18xx MCP 驅動程式內,身處 Wi-Fi 訊號範圍的攻擊者能透過特製框架觸發緩衝區溢位。開發 SYNC3 的系統供應商安全公告指出,面對無線訊號範圍內有漏洞的裝置,駭客能覆寫專門執行 MCP 驅動程式的主處理器記憶體。
福特汽車接獲供應商安全通報後,隨即展開驗證、評估影響性,並制定緩解措施。媒體中心聲明,將儘快推出修補程式,使用者下載至 USB 隨身碟後,插入車機系統安裝更新。修補程式尚未推出前的空窗期,使用者也可透過 SYNC3 系統設置功能表直接關閉 Wi-Fi 功能。
福特強調,有心人想利用漏洞並不容易,除了需要專業知識,還需要緊靠目標汽車,且車必須啟動狀態才能攻擊。即使目標汽車真遭攻擊,也不會危及行車安全,因 SYNC3 系統與汽車轉向、油門和剎車等控制裝置有防火牆保護。
福特說法是截至目前,未看到漏洞遭駭客利用的證據。有安全漏洞 SYNC3 系統的車款除了林肯車系,還有 Ford EcoSport(2021~2022)、Ford Escape(2021~2022)、Ford Bronco Sport(2021~2022)、Ford Explorer(2021~2022)、Ford Maverick(2022)、Ford Expedition(2021)、Ford Ranger(2022)、Ford Transit Connect(2021~2022)、Ford Super Duty(2021~2022)、Ford Transit(2021~2022)、Ford Mustang(2021~2022)及 Ford Transit CC-CA(2022)。
(首圖來源:)
標題:福特警告:自家車機 Wi-Fi 子系統有安全漏洞,但不會危及行車安全
地址:https://www.utechfun.com/post/251763.html