影响 Apple CarPlay 的零点击漏洞(编号为 CVE-2025-24132)在 Apple 发布修复程序近半年后,大多数车辆中的大部分车辆仍未得到修补。 Oligo Security 的研究人员于 2025 年 4 月 29 日公开披露了该缓冲区溢出漏洞,并在 CVSS 等级上将其严重程度评分为 6.5 分,为“中等”。
该漏洞允许攻击者获得对 CarPlay 系统的控制,通常不需要任何用户交互或身份验证。 Apple 于 2025 年 3 月 31 日针对 CarPlay AirPlay SDK 中的漏洞发布了补丁,并与 Oligo Security 协调披露。尽管该补丁已经可用,但截至 2025 年 9 月 11 日,仍有大量供应商(但没有汽车制造商)实施了该修复。
CVE-2025-24132 的利用可以通过 USB 连接或互联网进行。如果攻击者在范围内并且车辆的网络密码很容易被猜到,则攻击者可以利用易受攻击的系统。或者,他们可以使用蓝牙,特别是在使用“Just Works”蓝牙配对的车辆中,该配对允许设备不受限制地配对。虽然某些蓝牙配置可能需要 PIN,但许多系统不需要,这使得在许多情况下利用零点击。
Oligo Security 的研究员 Uri Katz 指出,大量系统依赖 Just Works 蓝牙配对,并且许多较旧的和第三方主机使用默认或可预测的 Wi-Fi 密码。他补充说,新型车辆在这方面正在改进,但遗留系统通常配备最少的配对保护,从而带来安全风险。
该攻击利用 Apple 的 iAP2 协议,该协议在移动设备和车载信息娱乐 (IVI) 系统之间建立会话。 iAP2协议仅对外部设备进行身份验证,这意味着IVI系统不会验证连接设备的真实性。这使得攻击者可以伪装成 iPhone、获取网络凭据并向车辆发出命令,就好像它是合法的 Apple 设备一样。
该漏洞与 AirPlay 软件开发工具包 (SDK) 中的应用程序终止相关,并允许使用 root 权限进行远程代码执行 (RCE)。这种级别的访问权限可能使攻击者能够监视驾驶员的位置、窃听对话或在驾驶时分散他们的注意力。然而,研究人员无法确认该漏洞是否可用于访问车辆内的安全关键系统。
研究人员强调的一个主要问题是汽车行业对该补丁的采用进展缓慢。尽管苹果在 3 月份发布了该修复程序,并在 4 月份协调披露,但只有少数供应商实施了该修复程序,而且还没有汽车制造商这样做。汽车行业缺乏标准化和更新周期缓慢导致了这个问题。
卡茨解释说,与隔夜更新的智能手机不同,许多车载系统仍然需要用户手动安装或拜访经销商。即使可以使用修补后的 SDK,汽车制造商也必须在其平台上对其进行调整、测试和验证,这需要与供应商和中间件提供商进行协调。他建议更广泛地采用无线 (OTA) 更新管道并在供应链中进行更顺畅的协调,作为潜在的解决方案。
Katz 强调,OTA 更新技术已经存在,但汽车行业内的组织协调尚未跟上。由于缺乏协调和标准化,很难快速解决和修补车辆系统中的漏洞,从而使其面临潜在的攻击。
