(来源:CNMO科技)
【CNMO科技消息】CNMO从外媒获悉,苹果CarPlay存在一个已公开数月的安全漏洞(编号CVE-2025-24132),导致数百万辆汽车面临攻击风险。虽然苹果早在今年4月29日就发布了修复补丁,但迄今为止,大多数汽车制造商仍未部署更新。
据悉,该漏洞的CVSS风险评分为6.5(中等风险),攻击者可通过蓝牙连接车辆后,利用iAP2协议漏洞获取WiFi凭证,进而触发AirPlay SDK的缓冲区溢出,最终获取CarPlay系统的Root权限。值得注意的是,若车辆采用"即连即用"(Just Works)的默认配对模式,攻击无需输入PIN码;即使启用PIN验证,攻击者仅需获取车载显示屏的临时验证码即可完成入侵。
成功利用该漏洞的攻击者能够窃取车辆位置数据、监听通话内容,甚至干扰驾驶员操作。为避免漏洞被大规模滥用,研究人员暂未公开技术细节。
安全研究机构Oligo Security指出,汽车行业缺乏统一标准、测试周期冗长,且更新通常需通过经销商手动安装,导致修复进度严重滞后。"与可连夜自动更新的『智能手机』不同,车辆系统仍依赖繁琐的人工操作",研究员Uri Katz解释道。
外媒指出,目前尚无汽车制造商完成系统更新,消费者需持续关注厂商通知。
