Uma vulnerabilidade com clique zero que afeta o Apple CarPlay, designado como CVE-2025-24132, permanece amplamente desconfortável na maioria dos veículos quase meio ano após o lançamento de uma correção pela Apple. Pesquisadores da OLIGO Security divulgaram publicamente a vulnerabilidade do buffer de transbordamento em 29 de abril de 2025, atribuindo -lhe uma pontuação de gravidade “médio” de 6,5 na escala CVSS. A vulnerabilidade permite que os invasores obtenham controle sobre os sistemas CarPlay, geralmente sem exigir qualquer interação ou autenticação do usuário. A Apple emitiu um patch para a vulnerabilidade no CarPlay Airplay SDK em 31 de março de 2025 e coordenou a divulgação com a OLIGO Security. Apesar da disponibilidade do patch, um número significativo de fornecedores e nenhum fabricante de automóveis implementou a correção em 11 de setembro de 2025. A exploração do CVE-2025-24132 pode ocorrer por meio de uma conexão USB ou pela Internet. Os invasores podem explorar sistemas vulneráveis ​​se estiverem dentro do alcance e a senha de rede do veículo for facilmente adivinhada. Como alternativa, eles podem usar o Bluetooth, principalmente em veículos que utilizam o emparelhamento Bluetooth “Just Works”, que permite que os dispositivos emparelhem sem restrições. Embora algumas configurações do Bluetooth possam exigir um PIN, muitos sistemas não, fazendo o clique zero de exploração em muitos cenários. Uri Katz, pesquisador da Oligo Security, observou que um número significativo de sistemas depende apenas do emparelhamento Bluetooth de obras e que muitas unidades de cabeça mais antigas e de terceiros usam senhas Wi-Fi padrão ou previsível. Ele acrescentou que os veículos mais novos estão melhorando nesse sentido, mas os sistemas herdados geralmente são enviados com proteções mínimas de emparelhamento, representando um risco de segurança. O ataque aproveita o protocolo IAP2 da Apple, que estabelece uma sessão entre um dispositivo móvel e um sistema de infotainment no veículo (IVI). O protocolo IAP2 autentica apenas o dispositivo externo, o que significa que o sistema IVI não verifica a autenticidade do dispositivo de conexão. Isso permite que um invasor se disfarça de iPhone, obtenha credenciais de rede e emita comandos para o veículo como se fosse um dispositivo Apple legítimo. A vulnerabilidade está relacionada à terminação de aplicativos no Kit de Desenvolvimento de Software (SDK) do AirPlay e permite a execução do código remoto (RCE) com privilégios root. Esse nível de acesso pode permitir que os invasores espiassem nos locais dos motoristas, escutando conversas ou distraí -los enquanto dirigiam. No entanto, os pesquisadores não puderam confirmar se a vulnerabilidade poderia ser usada para acessar sistemas críticos de segurança dentro do veículo. Uma grande preocupação destacada pelos pesquisadores é a lenta adoção do patch pela indústria automotiva. Apesar da Apple lançar a correção em março e a divulgação de coordenação em abril, apenas alguns fornecedores implementaram a correção, e nenhum fabricante de automóveis o fez. A falta de padronização na indústria automotiva e os ciclos de atualização lenta contribuem para esse problema. Katz explicou que, diferentemente dos smartphones que se atualizam da noite para o dia, muitos sistemas de veículos ainda exigem instalações manuais por usuários ou visitas de concessionária. Mesmo com a disponibilidade do SDK corrigido, as montadoras devem se adaptar, testá -lo e validar em suas plataformas, o que requer coordenação com fornecedores e provedores de middleware. Ele sugere a adoção mais ampla de tubulações de atualização de over-the-ar (OTA) e coordenação mais suave nas cadeias de suprimentos como possíveis soluções. Katz enfatiza que a tecnologia para atualizações de OTA existe, mas o alinhamento organizacional dentro da indústria automotiva não alcançou. Essa falta de coordenação e padronização dificulta a abordagem rapidamente e as vulnerabilidades de remendos nos sistemas de veículos, deixando -os expostos a possíveis ataques.

Source: Apple CarPlay CVE-2025-24132 Lags de patches em veículos