Podatność na zero kliknięcia wpływającą na Apple CarPlay, oznaczoną jako CVE-2015-24132, pozostaje w dużej mierze niepotwierdzona w większości pojazdów prawie pół roku po wydaniu poprawki przez Apple. Naukowcy z Oligo Security publicznie ujawnili podatność na przepełnienie bufora 29 kwietnia 2025 r., Przypisując mu ocenę nasilenia „średnią” 6,5 w skali CVSS. Podatność pozwala atakującym uzyskać kontrolę nad systemami CarPlay, często bez wymagania interakcji lub uwierzytelnienia użytkownika. Apple wydało łatkę podatności w SDK w Carplay Airplay 31 marca 2025 r. I koordynowało ujawnienie z bezpieczeństwem Oligo. Pomimo dostępności łatki znaczna liczba dostawców i żadnych producentów samochodów wdrożyło poprawkę na dzień 11 września 2025 r. Wykorzystanie CVE-2025-24132 może wystąpić za pośrednictwem połączenia USB lub przez Internet. Atakujący mogą wykorzystać wrażliwe systemy, jeśli znajdują się w zasięgu, a hasło sieciowe jest łatwo odgadnięte. Alternatywnie mogą korzystać z Bluetooth, szczególnie w pojazdach, które wykorzystują parowanie „po prostu działa” Bluetooth, które pozwala urządzeniom parować bez ograniczeń. Podczas gdy niektóre konfiguracje Bluetooth mogą wymagać PIN, wiele systemów nie robi, dzięki czemu exploit kliknij zero w wielu scenariuszach. Uri Katz, badacz z Oligo Security, zauważył, że znaczna liczba systemów opiera się na sprawie, że pracuje pary Bluetooth, a wiele starszych i zewnętrznych jednostek głowy używa domyślnych lub przewidywalnych haseł Wi-Fi. Dodał, że nowsze pojazdy ulepszają się pod tym względem, ale starsze systemy często wysyłają z minimalną ochroną parowania, stanowiąc ryzyko bezpieczeństwa. Atak wykorzystuje protokół Apple IAP2, który ustanawia sesję między urządzeniem mobilnym a systemem informacyjno-rozrywkowym (IVI). Protokół IAP2 uwierzytelnia tylko urządzenie zewnętrzne, co oznacza, że system IVI nie weryfikuje autentyczności urządzenia łączącego. Pozwala to atakującemu maskować się jako iPhone, uzyskiwanie poświadczeń sieciowych i wydawanie poleceń do pojazdu, tak jakby to było legalne urządzenie Apple. Podatność jest związana z wypowiedzeniem aplikacji w zestawie programistycznym Airplay Software (SDK) i pozwala na zdalne wykonywanie kodu (RCE) z uprawnieniami root. Ten poziom dostępu może umożliwić atakującym szpiegowanie lokalizacji kierowców, podsłuchiwanie rozmów lub rozpraszanie ich podczas jazdy. Jednak naukowcy nie mogli potwierdzić, czy podatność można wykorzystać do dostępu do systemów krytycznych bezpieczeństwa w pojeździe. Głównym problemem podkreślonym przez naukowców jest powolne przyjęcie łatki przez przemysł motoryzacyjny. Pomimo wypuszczenia poprawki w marcu i koordynacji ujawnienia w kwietniu, tylko kilku dostawców wdrożyło poprawkę i żaden producenci samochodów tego nie zrobili. Brak standaryzacji w branży motoryzacyjnej i powolne cykle aktualizacji przyczyniają się do tego problemu. Katz wyjaśnił, że w przeciwieństwie do smartfonów, które aktualizują się z dnia na dzień, wiele systemów w pojazdach nadal wymaga ręcznych instalacji przez użytkowników lub wizyt w salonie. Nawet przy dostępności załatanego SDK producenci samochodów muszą dostosowywać, testować i potwierdzić na swoich platformach, co wymaga koordynacji z dostawcami i dostawcami oprogramowania pośredniego. Sugeruje szersze przyjęcie rurociągów aktualizacji nieobsługowej (OTA) i gładszej koordynacji w łańcuchach dostaw jako potencjalnych rozwiązań. Katz podkreśla, że technologia aktualizacji OTA istnieje, ale dostosowanie organizacyjne w branży motoryzacyjnej nie nadrobiło zaległości. Ten brak koordynacji i standaryzacji utrudnia szybkie rozwiązanie i łatanie luk w systemach pojazdów, pozostawiając je narażone na potencjalne ataki.
Source: Apple CarPlay CVE-2025-24132 Patch opóźnia się w pojazdach
