Apple Carplay CVE-2025-24132車両のパッチ遅れ

CVE-2025-24132に指定されたApple CarPlayに影響を与えるゼロクリックの脆弱性は、Appleが修正が解放されてからほぼ半年でほとんどの車両ではほとんど飼育されていません。 Oligo Securityの研究者は、2025年4月29日にバッファオーバーフローの脆弱性を公開し、CVSSスケールで6.5の「中程度」の重大度スコアを割り当てました。脆弱性により、攻撃者はユーザーの相互作用や認証を必要とせずに、多くの場合、カープレイシステムを制御できます。 Appleは、2025年3月31日にCarplay Airplay SDKの脆弱性のためのパッチを発行し、Oligo Securityと開示を調整しました。パッチの可用性にもかかわらず、2025年9月11日現在、かなりの数のベンダーと自動車メーカーが修正を実装していません。CVE-2025-24132の搾取は、USB接続またはインターネット経由で発生する可能性があります。攻撃者は、範囲内にいる場合、脆弱なシステムを悪用でき、車両のネットワークパスワードは簡単に推測できます。あるいは、特に「Just Works」Bluetoothペアリングを使用する車両では、Bluetoothを使用できます。これにより、デバイスは制限なしにペアリングできます。一部のBluetooth構成にはPINが必要になる場合がありますが、多くのシステムはそうではないため、多くのシナリオでエクスプロイトがゼロクリックします。 Oligo Securityの研究者であるUri Katzは、かなりの数のシステムがBluetoothのペアリングに依存しており、多くの古いおよびサードパーティのヘッドユニットがデフォルトまたは予測可能なWi-Fiパスワードを使用していることに依存しています。彼は、この点で新しい車両が改善していると付け加えましたが、レガシーシステムはしばしば最小限のペアリング保護で出荷され、セキュリティリスクをもたらしました。この攻撃は、AppleのIAP2プロトコルを活用しており、モバイルデバイスと車両内インフォテインメント（IVI）システムとの間のセッションを確立します。 IAP2プロトコルは外部デバイスのみを認証します。つまり、IVIシステムは接続デバイスの信頼性を検証しません。これにより、攻撃者はiPhoneを装って、ネットワーク資格情報を取得し、それが正当なAppleデバイスであるかのように車両へのコマンドを発行することができます。脆弱性は、AirPlay Software Development Kit（SDK）内のアプリ終了に関連しており、ルート特権を備えたリモートコード実行（RCE）を可能にします。このレベルのアクセスにより、攻撃者はドライバーの場所をスパイしたり、会話を盗聴したり、運転中に気を散らしたりすることができます。ただし、研究者は、脆弱性を使用して、車両内の安全性が批判的なシステムにアクセスできるかどうかを確認できませんでした。研究者が強調した主な懸念は、自動車産業によるパッチのゆっくりとした採用です。 Appleが3月に修正をリリースし、4月に開示を調整したにもかかわらず、修正を実装したベンダーはわずかであり、自動車メーカーはそうしていません。自動車産業における標準化の欠如と遅い更新サイクルは、この問題に貢献しています。 Katzは、一晩で更新するスマートフォンとは異なり、多くの車両システムがユーザーまたはディーラーの訪問による手動インストールが依然として必要であると説明しました。パッチを当てたSDKが利用できる場合でも、自動車メーカーはプラットフォーム全体で適応、テスト、検証する必要があります。これには、サプライヤーやミドルウェアプロバイダーとの調整が必要です。彼は、潜在的なソリューションとして、サプライチェーンのオーバーエア（OTA）更新パイプラインとよりスムーズな調整をより広く採用することを提案しています。 Katzは、OTAの更新の技術が存在することを強調していますが、自動車業界内の組織的な整合性は追いついていません。この調整と標準化の欠如により、車両システムの脆弱性に迅速に対処してパッチを適用することが困難であり、潜在的な攻撃にさらされます。

Source: Apple Carplay CVE-2025-24132車両のパッチ遅れ