Ford waarschuwt voor kwetsbaarheid in wifi-driver infotainmentsysteem
Ford waarschuwt eigenaren van verschillende automodellen voor een kwetsbaarheid in de wifi-driver van het infotainmentsysteem waardoor remote code execution mogelijk is. Een beveiligingsupdate is nog niet beschikbaar. Klanten die zich zorgen maken wordt geadviseerd om de wifi-functionaliteit van het SYNC 3-infotainmentsysteem uit te schakelen.
Het beveiligingslek, aangeduid als CVE-2023-29468, werd gevonden door onderzoekers van Texas Instruments (pdf). Door het versturen van een speciaal geprepareerd wifi-frame naar het infotainmentsysteem kan er een buffer overflow ontstaan, die tot het uitvoeren van code kan leiden. Een aanvaller zou zo het geheugen van de host processor kunnen overschrijven, aldus een uitleg van Texas Instruments.
Volgens Ford zijn er nog geen gevallen bekend van misbruik en zou een aanvaller over "aanzienlijke expertise" moeten beschikken en in de buurt van het slachtoffer moeten zijn. De autofabrikant voegt toe dat de veiligheid van inzittenden bij eventueel misbruik niet in het geding is, aangezien het infotainmentsysteem via een firewall is afgeschermd van bediening zoals sturen en remmen.
Ford zegt binnenkort met een update te komen die online is te downloaden en via een usb-stick is te installeren. In de tussentijd kunnen gebruikers de wifi-functionaliteit van het infotainmentsysteem uitschakelen. Het probleem speelt bij meerdere modellen, waaronder de Ford Escape, Ford Maverick, Ford Expedition en Ford Transit.
Ik maak gewoon een beaglebone/raspberry pi met de juiste firmware, hang deze op een druk viaduct aan een zonnepaneeltje en alle FRODjes die onder of over het viaduct rijden worden gecrashed.
Ze bieden "klanten guidance" aan. Op veel meer dan "Customers who are concerned about the vulnerability can simply turn off the Wi-Fi functionality through the SYNC 3 infotainment system’s Settings menu" komt het niet uit. Dus dat doen we dan maar even, en tegelijk op ford.nl blijven inloggen om te kijken of er een update beschikbaar komt (dat is sinds een jaartje daar heel handig terug te vinden).
Ik kan (nog) nergens vinden welke in Nederland uitgebrachte auto's last kunnen hebben van deze kwetsbaarheid, dat zou wel handig zijn.
Benieuwd of de volgende update bij de dealer overigens gratis is voor iedereen die wat minder technisch onderlegt is, dat is voor een Sync update normaal niet het geval (bijzonder eigenlijk, maar misschien zit er normaal nooit een security-fix in).
https://itnerd.blog/2023/08/12/
Ik maak gewoon een beaglebone/raspberry pi met de juiste firmware, hang deze op een druk viaduct aan een zonnepaneeltje en alle FRODjes die onder of over het viaduct rijden worden gecrashed.
Jij bent echt cool.
Er staat "zou een aanvaller over "aanzienlijke expertise" moeten beschikken en in de buurt van het slachtoffer moeten zijn". Als jij een Proof of Conecpt neer kan leggen. Dan ben ik onder de indruk. Zomaar iets neerzetten is geen kunst.
Het belangrijkste is dat infotainment steeds meer geïntegreerd wordt in een auto. Dit zijn onderdelen die nog steeds los moeten blijven van de bus voor de ECU en andere management systemen.
Als er een lolbroek zo'n micro-pc aan een paal op de A10 of A2 hangt.... Of met een oranje dolfijn rond loopt...
Ik maak gewoon een beaglebone/raspberry pi met de juiste firmware, hang deze op een druk viaduct aan een zonnepaneeltje en alle FRODjes die onder of over het viaduct rijden worden gecrashed.
Jij bent echt cool.
Er staat "zou een aanvaller over "aanzienlijke expertise" moeten beschikken en in de buurt van het slachtoffer moeten zijn". Als jij een Proof of Conecpt neer kan leggen. Dan ben ik onder de indruk. Zomaar iets neerzetten is geen kunst.
Het belangrijkste is dat infotainment steeds meer geïntegreerd wordt in een auto. Dit zijn onderdelen die nog steeds los moeten blijven van de bus voor de ECU en andere management systemen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!