CVE-2025-24132: ksi, joka on nimetty Apple CarPlay -sovellukseen, joka on nimeänyt nolla-napsautuksella haavoittuvuuteen, on suurelta osin purkamattomana useimmissa ajoneuvoissa lähes puoli vuotta sen jälkeen, kun Apple julkaisi korjauksen. Oligo Security -yrityksen tutkijat paljastivat julkisesti puskurin ylivirtauksen haavoittuvuuden 29. huhtikuuta 2025, mikä antoi sille ”keskipitkän” vakavuuden 6,5 CVSS -asteikolla. Haavoittuvuus antaa hyökkääjille mahdollisuuden hankkia CARPlay -järjestelmien hallintaa usein ilman käyttäjän vuorovaikutusta tai todennusta. Apple julkaisi korjaustiedoston Carplay AirPlay SDK: n haavoittuvuudelle 31. maaliskuuta 2025 ja koordinoi julkistamista Oligo Security: n kanssa. Huolimatta korjaustiedoston saatavuudesta, huomattava määrä toimittajia eikä mitään autonvalmistajia ole toteuttaneet korjausta 11. syyskuuta 2025 alkaen. CVE-2015-24132: n hyödyntäminen voi tapahtua USB-yhteyden kautta tai Internetin kautta. Hyökkääjät voivat hyödyntää haavoittuvia järjestelmiä, jos ne ovat alueella ja ajoneuvon verkon salasana on helposti arvata. Vaihtoehtoisesti he voivat käyttää Bluetoothia, etenkin ajoneuvoissa, jotka hyödyntävät ”vain toimii” Bluetooth -pariliitosta, jonka avulla laitteet voivat parittua ilman rajoituksia. Vaikka jotkut Bluetooth-kokoonpanot saattavat vaatia PIN-koodia, monet järjestelmät eivät tee, mikä tekee hyväksikäytöstä nolla-napsautuksen monissa skenaarioissa. Oligo Security -yrityksen tutkija Uri Katz totesi, että merkittävä määrä järjestelmiä luottaa vain Bluetooth-pariliitokseen ja että monet vanhemmat ja kolmannen osapuolen pääyksiköt käyttävät oletusarvoisia tai ennustettavissa olevia Wi-Fi-salasanoja. Hän lisäsi, että uudemmat ajoneuvot paranevat tässä suhteessa, mutta vanhat järjestelmät toimittavat usein minimaalisilla pariliitoilla suojaamalla turvallisuusriskiä. Hyökkäys hyödyntää Applen IAP2-protokollaa, joka perustaa istunnon mobiililaitteen ja ajoneuvon sisäisen infotainment (IVI) -järjestelmän välillä. IAP2 -protokolla todentaa vain ulkoisen laitteen, mikä tarkoittaa, että IVI -järjestelmä ei tarkista kytkentälaitteen aitoutta. Tämän avulla hyökkääjä voi naamioitua iPhoneksi, hankkia verkkotiedot ja antaa ajoneuvolle komentoja ikään kuin se olisi laillinen Apple -laite. Haavoittuvuus liittyy AirPlay Software Development Kit (SDK) -sovelluksen lopettamiseen ja mahdollistaa etäkoodin suorittamisen (RCE) juurioikeuksilla. Tämä pääsytaso voisi antaa hyökkääjille vakoilla kuljettajien paikkoja, salakuuntelua keskusteluihin tai häiritä niitä ajon aikana. Tutkijat eivät kuitenkaan voineet vahvistaa, voitaisiinko haavoittuvuutta käyttää ajoneuvon turvallisuuskriittisten järjestelmien käyttämiseen. Suurin tutkijoiden korostama huolenaihe on autoteollisuuden hitaasti käyttöönotto. Huolimatta siitä, että Apple julkaisi korjauksen maaliskuussa ja koordinoi julkistamista huhtikuussa, vain muutama myyjä on toteuttanut korjauksen, eikä yksikään autonvalmistajille ole tehnyt niin. Autoteollisuuden standardisoinnin puute ja hidas päivityssyklit edistävät asiaa. Katz selitti, että toisin kuin älypuhelimet, jotka päivittävät yön yli, monet ajoneuvojen sisäiset järjestelmät vaativat edelleen käyttäjien tai jälleenmyyjien vierailujen manuaalisia asennuksia. Jopa korjattu SDK: n saatavuus, autovalmistajien on mukautettava, testattava ja validoitava se alustojensa yli, mikä vaatii koordinointia toimittajien ja väliohjelman tarjoajien kanssa. Hän ehdottaa, että over-the-Air (OTA) -päivitysputkistojen ja sujuvamman koordinointi toimitusketjuina on laajempi käyttöön potentiaalisina ratkaisuina. Katz korostaa, että OTA -päivitysten tekniikka on olemassa, mutta autoteollisuuden organisaation linjaus ei ole kiinni. Tämä koordinaation ja standardisoinnin puute vaikeuttaa ajoneuvojärjestelmien nopeasti puuttua ja korjata haavoittuvuuksia jättäen ne alttiiksi mahdollisille hyökkäyksille.

Source: Apple CarPlay CVE-2025-24132 laastari viiveet ajoneuvoissa