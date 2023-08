In vielen Ford-Fahrzeugen steckt eine Sicherheitslücke. Das teilt Ford hier mit. Demnach steckt in Fords Infotainmentsystem Sync 3 eine Schwachstelle, die Angreifer dazu ausnutzen können, um ihren schädlichen Code auf dem Infotainmentsystem des Ford-PKWs auszuführen.

Ein Zulieferer hatte Ford über die als CVE-2023-29468 klassifizierte Lücke informiert. Dabei handelt es sich um einen Buffer-Overflow-Fehler, also um einen Klassiker unter den Programmierfehlern, der Angreifern illegalen Zugriff ermöglichen. Die Lücke steckt in der WLAN-Funktion von Sync 3. Ein Angreifer, der sich in WiFi-Reichweite befindet, kann besagten Pufferüberlauf auslösen. Der Speicher des Host-Prozessors, der den für die WLAN-Funktion benötigten MCP-Treiber ausführt, kann dadurch überschrieben werden.

Ford schreibt zu der Lücke:

Bislang haben wir keine Hinweise darauf gefunden, dass diese Schwachstelle ausgenutzt wurde. Dazu wäre wahrscheinlich erhebliches Fachwissen erforderlich, und man müsste sich in der Nähe eines Fahrzeugs aufhalten, bei dem die Zündung und die Wi-Fi-Einstellung aktiviert sind. Unsere Untersuchung hat außerdem ergeben, dass ein Ausnutzen dieser Schwachstelle, auch wenn es unwahrscheinlich ist, die Sicherheit der Fahrzeuginsassen nicht beeinträchtigen würde, da das Infotainmentsystem von Steuerungen wie Lenkung, Drosselung und Bremsen abgeschottet ist.

Die Fahrsicherheit der betroffenen Ford-Fahrzeuge sei also nicht gefährdet. Welchen konkreten Schaden Hacker durch die Ausnutzung der Lücke verursachen könnten, sagt Ford nicht.

Diese Ford-Modelle sind betroffen

Die IT-Sicherheitsnachrichtenseite Bleepingcomputer hat eine Liste der betroffenen Fahrzeuge mit Sync 3 veröffentlicht (Ford selbst hat eine entsprechende Lücke nicht zur Verfügung gestellt):

Ford EcoSport (2021 – 2022)

Ford Escape (2021 – 2022)

Ford Bronco Sport (2021 – 2022)

Ford Explorer (2021 – 2022)

Ford Maverick (2022)

Ford Expedition (2021)

Ford Ranger (2022)

Ford Transit Connect (2021 – 2022)

Ford Super Duty (2021 – 2022)

Ford Transit (2021 – 2022)

Ford Mustang (2021 – 2022)

Ford Transit CC-CA (2022)

Inwieweit auch in Deutschland verkaufte Modelle von der Lücke betroffen sind, sagt Ford bisher nicht.

Ford will möglichst bald einen Patch zur Verfügung stellen, der diese Lücke in Sync 3 schließt. Diesen Patch sollen die betroffenen Kunden dann herunterladen und mithilfe eines USB-Sticks auf ihren Fahrzeugen installieren können.

Bis der Patch zur Verfügung steht, können Kunden, die über die Sicherheitslücke besorgt sind, die Wi-Fi-Funktionalität über das Einstellungsmenü des Sync-3-Infotainmentsystems deaktivieren.