Уязвимость с нулевым кликом, затрагивающая Apple CarPlay, обозначенную CVE-2025-24132, остается в значительной степени непрерывной в большинстве транспортных средств почти полгода после того, как Apple выпустила исправление. Исследователи в Oligo Security публично раскрыли уязвимость переполнения буфера 29 апреля 2025 года, присвоив ему «среднюю» оценку тяжести 6,5 по шкале CVSS. Уязвимость позволяет злоумышленникам получать контроль над системами CarPlay, часто без какого -либо взаимодействия с пользователем или аутентификации. Apple выпустила патч для уязвимости в SDK Carplay SDK 31 марта 2025 года и координировала раскрытие с безопасностью Oligo. Несмотря на наличие патча, значительное количество поставщиков и ни одного производителя автомобилей внедрили исправление по состоянию на 11 сентября 2025 года. Эксплуатация CVE-2025-24132 может происходить через USB-соединение или через Интернет. Злоумышленники могут использовать уязвимые системы, если они находятся в пределах диапазона, а сетевой пароль транспортного средства легко догадается. В качестве альтернативы, они могут использовать Bluetooth, особенно в транспортных средствах, которые используют «просто работает» Bluetooth, которое позволяет устройствам сочетаться без ограничений. В то время как некоторые конфигурации Bluetooth могут потребовать PIN-кода, многие системы не делают, что делает эксплойт нулевой клик во многих сценариях. Ури Кац, исследователь в Oligo Security, отметил, что значительное количество систем полагается на простое сочетание Bluetooth и что многие старые и сторонние подразделения используют пароли по умолчанию или предсказуемые пароли Wi-Fi. Он добавил, что в этом отношении улучшается новые транспортные средства, но устаревшие системы часто поставляются с минимальной защитой спаривания, создавая риск безопасности. Атака использует протокол Apple IAP2, который устанавливает сеанс между мобильным устройством и информационно-развлекательной системой в транспортных средствах (IVI). Протокол IAP2 аутентифицирует только внешнее устройство, что означает, что система IVI не проверяет подлинность соединительного устройства. Это позволяет злоумышленнику маскировать в качестве iPhone, получать сетевые учетные данные и выпускать команды в автомобиль, как если бы это было законное устройство Apple. Уязвимость связана с завершением приложений в комплекте разработки программного обеспечения AirPlay (SDK) и позволяет выполнять удаленное выполнение кода (RCE) с привилегиями Root. Этот уровень доступа может позволить злоумышленникам шпионить за местами водителей, подслушивать разговоры или отвлекать их во время вождения. Тем не менее, исследователи не могли подтвердить, может ли уязвимость быть использована для доступа к критическим системам безопасности в автомобиле. Основной проблемой, подчеркиваемой исследователями, является медленное принятие патча автомобильной промышленностью. Несмотря на то, что Apple выпустила исправление в марте и координацию раскрытия в апреле, только несколько поставщиков внедрили это исправление, и ни один производители автомобилей этого не сделали. Отсутствие стандартизации в автомобильной промышленности и медленные циклы обновления способствуют этой проблеме. Кац объяснил, что в отличие от смартфонов, которые обновляются в одночасье, многие системы в транспортных средствах по-прежнему требуют ручной установки пользователями или посещением дилерского центра. Даже с наличием исправленного SDK автопроизводители должны адаптировать, проверять и проверять его на своих платформах, что требует координации с поставщиками и провайдерами промежуточного программного обеспечения. Он предлагает более широкое внедрение трубопроводов из эфира (OTA) обновлять трубопроводы и более плавную координацию в цепочках поставок в качестве потенциальных решений. Кац подчеркивает, что технология обновлений OTA существует, но организационное выравнивание в автомобильной промышленности не догнало. Это отсутствие координации и стандартизации затрудняет быстрое решение и исправление уязвимостей в системах транспортных средств, оставляя их воздействием потенциальных атак.
Source: Apple CarPlay CVE-2025-24132 Плач лаги в транспортных средствах
