29 kwietnia 2025 r. Oligo Security ujawniło podatność na przepełnienie bufora w Apple CarPlay, zidentyfikowana jako CVE-2025-24132. Podatność ma wynik CVSS 6,5 (medium) i umożliwia nieautoryzowany dostęp do systemów Carplay, często bez wymagania interakcji użytkownika lub uwierzytelnienia.
Jak działa wrażliwość na Carplay
Atakujący może wykorzystać CVE-2025-24132 do kontrolowania Apple CarPlay System za pośrednictwem połączenia USB, Internetu lub „po prostu działa” pary Bluetooth. Metoda „po prostu działa” jest poważnym problemem, ponieważ pozwala urządzeniom się połączyć bez ograniczeń, tworząc otwarcie nieautoryzowanego dostępu. Exploit jest skierowany do protokołu IAP2 Apple, który zarządza połączeniem między urządzeniem mobilnym a systemem informacyjno -rozrywkowym pojazdu (IVI). Protokół uwierzytelnia tylko system IVI, a nie urządzenie zewnętrzne łączące się z nim. To jednokierunkowe uwierzytelnianie pozwala atakującemu podszywać się pod iPhone’a, przechwytywanie poświadczeń sieci i przejęcie kontroli nad siecią pojazdu w celu wydawania poleceń.
Uri Katz, badacz bezpieczeństwa Oligo, zauważył: „Nie mamy dokładnych odsetek, ponieważ różni się w zależności od dostawcy i modelu, ale nasze testy wykazały, że znaczna liczba systemów polegała na sprawiedliwej pracy pary Bluetooth, a wiele starszych i trzecich jednostek głównych używa domyślnych lub przewidywalnych haseł WI-FI”.
Chociaż dane techniczne są ograniczone, aktualizacja bezpieczeństwa Apple z kwietnia 2025 r. Sugeruje, że problem dotyczy rozwiązania aplikacji. Podatność znajduje się w zestawie programistycznym AirPlay Software (SDK) i umożliwia zdalne wykonywanie kodu (RCE) z uprawnieniami root.
Potencjalne ryzyko dla kierowców
Zdobycie RCE na poziomie korzeni daje atakującemu szeroką kontrolę nad systemem informacyjno-rozrywkowym. Dostęp ten może pozwolić im szpiegować położenie kierowcy, podsłuchiwać rozmowy lub zakłócać kierowcę podczas pracy pojazdu. Badania Oligo Security nie potwierdziły, czy ten dostęp może rozszerzyć się na systemy krytyczne bezpieczeństwa pojazdu.
Powolna reakcja branżowa pozostawia systemy wrażliwe
Apple opublikowało łatkę dla CVE-2025-24132 31 marca 2025 r. I koordynowało publiczne ujawnienie z Oligo Security za 29 kwietnia 2025 r. Mimo dostępnej łatki adopcja przez przemysł motoryzacyjny był powolny. Od połowy września 2025 r., Cztery i pół miesiąca po wydaniu poprawki, niewielu dostawców go wdrożyło. W szczególności żaden producenci samochodów nie zaktualizowali swoich systemów, pozostawiając wiele pojazdów narażonych na podatność.
Wyzwania w aktualizacjach oprogramowania motoryzacyjnego
Powolne wdrażanie łatek jest spowodowane kilkoma czynnikami w branży motoryzacyjnej, w tym brak standaryzacji, powolne cykle aktualizacji i potrzebę ręcznych instalacji w salonie.
„W przeciwieństwie do telefonów, które aktualizują z dnia na dzień, wiele systemów w pojazdach nadal wymaga ręcznych instalacji przez użytkowników lub wizyt w salonie” – stwierdził Katz. „Nawet gdy Apple wysłał łatkę SDK, producenci samochodów muszą dostosowywać, testować i potwierdzić na swoich platformach, wymagając koordynacji z dostawcami i dostawcami oprogramowania pośredniego”.
Aby poprawić bezpieczeństwo, Oligo Security zaleca szersze przyjęcie rurociągów aktualizacji bezprzewodowej (OTA) i lepszą koordynację w całym łańcuchu dostaw. Katz dodał, że „Istnieje technologia, ale wyrównanie organizacyjne się nie nadrobiło”. Usprawnienie tych procesów jest konieczne do szybszego wdrażania łat bezpieczeństwa.
