2025年4月29日,Oligo Security在Apple Carplay中披露了缓冲区溢出脆弱性,该漏洞被确定为CVE-2025-24132。该漏洞的CVSS得分为6.5(媒介),允许未经授权访问CarPlay系统,通常不需要用户互动或身份验证。
CarPlay脆弱性如何工作
攻击者可以利用 CVE-2025-24132 控制一个 Apple Carplay 通过USB连接,Internet或“ Just Works”蓝牙配对系统。 “ Just Works”方法是一个重大问题,因为它允许设备在不限制的情况下连接,从而为未经授权的访问创建一个开口。利用目标是Apple的IAP2协议,该协议管理移动设备与车辆信息娱乐(IVI)系统之间的连接。该协议仅对IVI系统进行身份验证,而不是连接到它的外部设备。这种单向身份验证使攻击者能够模仿iPhone,拦截网络凭据,并控制车辆的网络发出命令。
Oligo安全研究人员Uri Katz指出:“我们没有确切的百分比,因为它因供应商和模型而异,但是我们的测试发现,大量系统依赖于工作蓝牙配对,许多较旧的和第三方的头部单元使用默认和可预测的Wi-Fi密码。”
尽管技术细节有限,但苹果从2025年4月开始的安全更新表明,该问题与应用程序终止有关。该漏洞位于AirPlay软件开发套件(SDK)中,并启用具有root特权的远程代码执行(RCE)。
驾驶员的潜在风险
获得根级RCE可为攻击者对信息娱乐系统的广泛控制。此访问可以使他们可以在驾驶员的位置进行监视,窃听对话,或者在车辆运行时破坏驾驶员。 Oligo Security的研究没有确认此访问是否可以扩展到车辆的关键安全系统。
行业缓慢的响应使系统脆弱
苹果于2025年3月31日发布了CVE-2025-24132的补丁程序,并于2025年4月29日与Oligo Security协调了公众披露。尽管有补丁可用,但汽车行业采用的采用速度很慢。截至2025年9月中旬,该修复程序发布后四个半月,很少有供应商实施了它。值得注意的是,没有汽车制造商更新了他们的系统,使许多车辆暴露于脆弱性。
汽车软件更新中的挑战
缓慢的补丁部署是由汽车行业中的几个因素引起的,包括缺乏标准化,缓慢的更新周期以及经销商的手动安装需求。
卡茨说:“与一夜之间更新的电话不同,许多车载系统仍然需要用户或经销商访问的手动安装。” “即使苹果公司运送了修补的SDK,汽车制造商也必须在其平台上对其进行调整,测试和验证,并需要与供应商和中间件提供商进行协调。”
为了提高安全性,Oligo Security建议在整个供应链中更广泛地采用过电线(OTA)更新管道和更好的协调。卡兹补充说,虽然“这项技术存在,但是组织的一致性尚未赶上。”简化这些过程对于更快地部署安全补丁是必要的。
