Ford waarschuwt eigenaren van verschillende modellen van de autofabrikant voor een kwetsbaarheid in de wifi-driver van het infotainmentsysteem. Daardoor is ‘remote code execution’ mogelijk. Een beveiligingsupdate is nog niet beschikbaar. Klanten die zich zorgen maken, wordt geadviseerd om de wifi-functionaliteit van het SYNC 3 infotainmentsysteem uit te schakelen.
Het beveiligingslek, aangeduid als CVE-2023-29468, werd gevonden door onderzoekers van Texas Instruments. Door het versturen van een speciaal geprepareerd wifi-frame naar het infotainmentsysteem kan er een buffer overflow ontstaan, die tot het uitvoeren van de code kan leiden. Een aanvaller zou zo het geheugen van de host processor kunnen overschrijven, aldus een woordvoerder van Texas Instruments.
Volgens Ford zijn er nog geen gevallen bekend van misbruik en zou een aanvaller over “aanzienlijke expertise” moeten beschikken en in de buurt van het slachtoffer moeten zijn. De autofabrikant voegt er aan toe dat de veiligheid van inzittenden bij eventueel misbruik niet in het geding is, aangezien het infotainmentsysteem via een firewall is afgeschermd van functies zoals sturen en remmen.
Ford zegt binnenkort met een update te komen die online is te downloaden en via een USB stick is te installeren. In de tussentijd kunnen gebruikers de wifi-functionaliteit van het infotainmentsysteem uitschakelen. Het probleem speelt bij meerdere modellen van Ford, waaronder de Kuga, de Explorer en de Transit.