Ford waarschuwt voor kwetsbaarheid in wifi-driver infotainmentsysteem
Ford waarschuwt eigenaren van verschillende automodellen voor een kwetsbaarheid in de wifi-driver van het infotainmentsysteem waardoor remote code execution mogelijk is. Een beveiligingsupdate is nog niet beschikbaar. Klanten die zich zorgen maken wordt geadviseerd om de wifi-functionaliteit van het SYNC 3-infotainmentsysteem uit te schakelen.
Het beveiligingslek, aangeduid als CVE-2023-29468, werd gevonden door onderzoekers van Texas Instruments (pdf). Door het versturen van een speciaal geprepareerd wifi-frame naar het infotainmentsysteem kan er een buffer overflow ontstaan, die tot het uitvoeren van code kan leiden. Een aanvaller zou zo het geheugen van de host processor kunnen overschrijven, aldus een uitleg van Texas Instruments.
Volgens Ford zijn er nog geen gevallen bekend van misbruik en zou een aanvaller over "aanzienlijke expertise" moeten beschikken en in de buurt van het slachtoffer moeten zijn. De autofabrikant voegt toe dat de veiligheid van inzittenden bij eventueel misbruik niet in het geding is, aangezien het infotainmentsysteem via een firewall is afgeschermd van bediening zoals sturen en remmen.
Ford zegt binnenkort met een update te komen die online is te downloaden en via een usb-stick is te installeren. In de tussentijd kunnen gebruikers de wifi-functionaliteit van het infotainmentsysteem uitschakelen. Het probleem speelt bij meerdere modellen, waaronder de Ford Escape, Ford Maverick, Ford Expedition en Ford Transit.
Ik maak gewoon een beaglebone/raspberry pi met de juiste firmware, hang deze op een druk viaduct aan een zonnepaneeltje en alle FRODjes die onder of over het viaduct rijden worden gecrashed.
Ze bieden "klanten guidance" aan. Op veel meer dan "Customers who are concerned about the vulnerability can simply turn off the Wi-Fi functionality through the SYNC 3 infotainment system’s Settings menu" komt het niet uit. Dus dat doen we dan maar even, en tegelijk op ford.nl blijven inloggen om te kijken of er een update beschikbaar komt (dat is sinds een jaartje daar heel handig terug te vinden).
Ik kan (nog) nergens vinden welke in Nederland uitgebrachte auto's last kunnen hebben van deze kwetsbaarheid, dat zou wel handig zijn.
Benieuwd of de volgende update bij de dealer overigens gratis is voor iedereen die wat minder technisch onderlegt is, dat is voor een Sync update normaal niet het geval (bijzonder eigenlijk, maar misschien zit er normaal nooit een security-fix in).
https://itnerd.blog/2023/08/12/
Ik maak gewoon een beaglebone/raspberry pi met de juiste firmware, hang deze op een druk viaduct aan een zonnepaneeltje en alle FRODjes die onder of over het viaduct rijden worden gecrashed.
Jij bent echt cool.
Er staat "zou een aanvaller over "aanzienlijke expertise" moeten beschikken en in de buurt van het slachtoffer moeten zijn". Als jij een Proof of Conecpt neer kan leggen. Dan ben ik onder de indruk. Zomaar iets neerzetten is geen kunst.
Het belangrijkste is dat infotainment steeds meer geïntegreerd wordt in een auto. Dit zijn onderdelen die nog steeds los moeten blijven van de bus voor de ECU en andere management systemen.
Als er een lolbroek zo'n micro-pc aan een paal op de A10 of A2 hangt.... Of met een oranje dolfijn rond loopt...
Ik maak gewoon een beaglebone/raspberry pi met de juiste firmware, hang deze op een druk viaduct aan een zonnepaneeltje en alle FRODjes die onder of over het viaduct rijden worden gecrashed.
Jij bent echt cool.
Er staat "zou een aanvaller over "aanzienlijke expertise" moeten beschikken en in de buurt van het slachtoffer moeten zijn". Als jij een Proof of Conecpt neer kan leggen. Dan ben ik onder de indruk. Zomaar iets neerzetten is geen kunst.
Het belangrijkste is dat infotainment steeds meer geïntegreerd wordt in een auto. Dit zijn onderdelen die nog steeds los moeten blijven van de bus voor de ECU en andere management systemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
