新聞來源：https://www.ithome.com.tw/news/158288
新聞名稱：福特證實車載資訊系統 Sync3 存在 Wi-Fi 元件漏洞

福特證實

車載資訊系統 Sync3
存在 Wi-Fi 元件漏洞

基礎知識

車載系統 (In-Vehicle Infotainment System, IVI)

• 汽車的中央系統

• 通常是觸碰螢幕的介面

Sync3 車載資訊系統

• 車載娛樂和資訊系統

• 音樂播放、導航和車輛設定

驅動程式 (Device Driver)

• 驅動程式是讓作業系統能夠與特定的硬體設備溝通的程式

WL18xx MCP 驅動程式

• 用來控制 Wi-Fi 硬體的驅動程式

記憶體緩衝區溢位漏洞 (Buffer Overflow Vulnerability)

• 允許攻擊者覆寫系統記憶體中的資料，進而有可能執行任意程式碼或破壞系統

CVE

• 已知漏洞資料庫，CVE-年份-流水號

CVSS 風險評分系統

• 衡量安全漏洞的嚴重程度

Bleeping Computer 和SecurityWeek

• 知名的資訊安全新聞網站，提供有關各種安全議題的最新資訊和分析

事件整理

安全漏洞通知

• 時間

  • 2023年8月10日

• 目標

  • 2021 年至 2022 年部分車型的 Sync3 車載系統存在漏洞

CVE-2023-29468

漏洞說明

• 廠商

  • Texas Instruments (TI)

    • 德州儀器

• 位於

  • WL18xx MCP 驅動程式

• 類型

  • 記憶體緩衝區溢位漏洞

• 允許

  • 允許攻擊者在特定條件下覆寫主機記憶體

• 版本

  • WILINK8-WIFI-MCP8 的 8.5_SP3 及更早版本

福特的回應

• 尚未有任何利用該漏洞的案例報告

• 強調即使系統受到攻擊，也不會影響車輛的行車安全

  • 其他資安新聞不認同

    • Bleeping Computer

      • 福特聲稱車輛含有 Wi-Fi漏洞 仍能安全行駛

    • SecurityWeek

      • 福特聲稱 Wi-Fi 漏洞對車輛並非安全風險

應對措施

• 修補程式

  • 正在開發

  • 推出之前

    • 關閉車載系統的 Wi-Fi 功能來降低風險

小試身手

Sync3 是什麼？

• A. 一種車載導航系統

• B. 福特車款的一個車載資訊系統

• C. 一款手機應用程式

• D. 一個電腦作業系統

• 答案

  • B

CVSS風險評分系統是什麼？

• A. 用來評估汽車速度的系統

• B. 用來評估氣候變化的工具

• C. 用來評估資訊安全漏洞風險的工具

• D. 用來評估股票風險的工具

• 答案

  • C

福特建議車主採取什麼臨時措施降低風險？

• A. 更新作業系統

• B. 關閉車載資訊系統的 Wi-Fi 連線功能

• C. 更換車載資訊系統

• D. 開啟所有防火牆

• 答案

  • B

WL18xx MCP驅動程式存在什麼類型的漏洞？

• A. 軟體更新漏洞

• B. 記憶體緩衝區溢位漏洞

• C. 密碼安全漏洞

• D. 網路釣魚漏洞

• 答案

  • Ｂ

CVE-2023-29468 漏洞允許攻擊者做什麼？

• A. 取得覆寫主機記憶體的能力

• B. 直接控制車輛的油門和剎車系統

• C. 竊取車主的個人資料

• D. 改變車載音樂系統的設定

• 答案

  • A