福特警告：自家車機 Wi-Fi 子系統有安全漏洞，但不會危及行車安全

經 Wi-Fi 入侵使用公共無線網路熱點的手機或筆電早不是新鮮事，同樣支援 Wi-Fi 的車用資訊娛樂系統（俗稱車機系統）也會有連網時被駭客入侵的風險。福特汽車（Ford）最近警告，許多福特車款及林肯車系 SYNC3 車載資訊娛樂系統發現有緩衝區溢位漏洞，會導致遠端程式碼執行風險。

SYNC3 車載資訊娛樂系統支援車內 Wi-Fi 熱點、手機連接、語音命令、第三方應用程式等功能。這次編號 CVE-2023-29468 的漏洞在 SYNC3 系統 Wi-Fi 子系統的 WL18xx MCP 驅動程式內，身處 Wi-Fi 訊號範圍的攻擊者能透過特製框架觸發緩衝區溢位。開發 SYNC3 的系統供應商安全公告指出，面對無線訊號範圍內有漏洞的裝置，駭客能覆寫專門執行 MCP 驅動程式的主處理器記憶體。

福特汽車接獲供應商安全通報後，隨即展開驗證、評估影響性，並制定緩解措施。媒體中心聲明，將儘快推出修補程式，使用者下載至 USB 隨身碟後，插入車機系統安裝更新。修補程式尚未推出前的空窗期，使用者也可透過 SYNC3 系統設置功能表直接關閉 Wi-Fi 功能。

福特強調，有心人想利用漏洞並不容易，除了需要專業知識，還需要緊靠目標汽車，且車必須啟動狀態才能攻擊。即使目標汽車真遭攻擊，也不會危及行車安全，因 SYNC3 系統與汽車轉向、油門和剎車等控制裝置有防火牆保護。

福特說法是截至目前，未看到漏洞遭駭客利用的證據。有安全漏洞 SYNC3 系統的車款除了林肯車系，還有 Ford EcoSport（2021~2022）、Ford Escape（2021~2022）、Ford Bronco Sport（2021~2022）、Ford Explorer（2021~2022）、Ford Maverick（2022）、Ford Expedition（2021）、Ford Ranger（2022）、Ford Transit Connect（2021~2022）、Ford Super Duty（2021~2022）、Ford Transit（2021~2022）、Ford Mustang（2021~2022）及 Ford Transit CC-CA（2022）。