Een zero-click-kwetsbaarheid die Apple CarPlay treft, aangeduid als CVE-2025-24132, blijft in de meeste voertuigen grotendeels ongepatcht, bijna een half jaar nadat Apple een oplossing had uitgebracht. Onderzoekers van Oligo Security maakten de kwetsbaarheid voor bufferoverflow op 29 april 2025 openbaar en gaven deze een “gemiddelde” ernstscore van 6,5 op de CVSS-schaal.
Door het beveiligingslek kunnen aanvallers controle krijgen over CarPlay-systemen, vaak zonder dat daarvoor enige gebruikersinteractie of authenticatie nodig is. Apple heeft op 31 maart 2025 een patch uitgebracht voor de kwetsbaarheid in de CarPlay AirPlay SDK en heeft de openbaarmaking gecoördineerd met Oligo Security. Ondanks de beschikbaarheid van de patch hebben een aanzienlijk aantal leveranciers en geen enkele autofabrikant de oplossing vanaf 11 september 2025 geïmplementeerd.
Exploitatie van CVE-2025-24132 kan plaatsvinden via een USB-verbinding of via internet. Aanvallers kunnen kwetsbare systemen misbruiken als deze zich binnen bereik bevinden en het netwerkwachtwoord van het voertuig gemakkelijk te raden is. Als alternatief kunnen ze Bluetooth gebruiken, vooral in voertuigen die gebruikmaken van “Just Works” Bluetooth-koppeling, waarmee apparaten zonder beperkingen kunnen worden gekoppeld. Hoewel voor sommige Bluetooth-configuraties mogelijk een pincode vereist is, is dat bij veel systemen niet het geval, waardoor de exploit in veel scenario’s zonder enige klik kan worden uitgevoerd.
Uri Katz, een onderzoeker bij Oligo Security, merkte op dat een aanzienlijk aantal systemen afhankelijk zijn van Just Works Bluetooth-koppeling en dat veel oudere hoofdunits en die van derden standaard of voorspelbare Wi-Fi-wachtwoorden gebruiken. Hij voegde eraan toe dat nieuwere voertuigen in dit opzicht verbeteren, maar dat oudere systemen vaak worden geleverd met minimale koppelingsbeveiliging, wat een veiligheidsrisico met zich meebrengt.
De aanval maakt gebruik van het iAP2-protocol van Apple, dat een sessie tot stand brengt tussen een mobiel apparaat en een infotainmentsysteem (IVI) in de auto. Het iAP2-protocol authenticeert alleen het externe apparaat, wat betekent dat het IVI-systeem de authenticiteit van het verbindende apparaat niet verifieert. Hierdoor kan een aanvaller zich voordoen als een iPhone, netwerkreferenties verkrijgen en opdrachten aan het voertuig geven alsof het een legitiem Apple-apparaat is.
Het beveiligingslek houdt verband met het beëindigen van apps binnen de AirPlay-softwareontwikkelingskit (SDK) en maakt uitvoering van externe code (RCE) met rootrechten mogelijk. Met dit toegangsniveau kunnen aanvallers de locaties van chauffeurs bespioneren, gesprekken afluisteren of hen tijdens het rijden afleiden. De onderzoekers konden echter niet bevestigen of de kwetsbaarheid kon worden gebruikt om toegang te krijgen tot veiligheidskritische systemen in het voertuig.
Een belangrijk punt van zorg dat door de onderzoekers wordt benadrukt, is de langzame adoptie van de patch door de auto-industrie. Ondanks dat Apple de oplossing in maart uitbracht en de openbaarmaking ervan in april coördineerde, hebben slechts een paar leveranciers de oplossing geïmplementeerd, en geen enkele autofabrikant heeft dat gedaan. Het gebrek aan standaardisatie in de auto-industrie en de langzame updatecycli dragen bij aan dit probleem.
Katz legde uit dat, in tegenstelling tot smartphones die ‘s nachts worden bijgewerkt, veel systemen in voertuigen nog steeds handmatige installatie door gebruikers of dealerbezoeken vereisen. Zelfs nu de gepatchte SDK beschikbaar is, moeten autofabrikanten deze op hun platforms aanpassen, testen en valideren, wat coördinatie met leveranciers en middleware-aanbieders vereist. Hij suggereert een bredere adoptie van over-the-air (OTA) updatepijplijnen en een soepelere coördinatie in toeleveringsketens als mogelijke oplossingen.
Katz benadrukt dat de technologie voor OTA-updates bestaat, maar dat de organisatorische afstemming binnen de auto-industrie nog niet is ingehaald. Dit gebrek aan coördinatie en standaardisatie maakt het moeilijk om kwetsbaarheden in voertuigsystemen snel aan te pakken en te patchen, waardoor deze worden blootgesteld aan potentiële aanvallen.
