Una vulnerabilità zero-click che colpisce Apple CarPlay, designata come CVE-2025-24132, rimane in gran parte senza patch nella maggior parte dei veicoli quasi sei mesi dopo che Apple ha rilasciato una correzione. I ricercatori di Oligo Security hanno reso pubblica la vulnerabilità buffer overflow il 29 aprile 2025, assegnandole un punteggio di gravità “medio” pari a 6,5 sulla scala CVSS.
La vulnerabilità consente agli aggressori di ottenere il controllo sui sistemi CarPlay, spesso senza richiedere alcuna interazione o autenticazione da parte dell’utente. Apple ha rilasciato una patch per la vulnerabilità nell’SDK CarPlay AirPlay il 31 marzo 2025 e ha coordinato la divulgazione con Oligo Security. Nonostante la disponibilità della patch, a partire dall’11 settembre 2025 un numero significativo di fornitori e nessun produttore di automobili ha implementato la correzione.
Lo sfruttamento di CVE-2025-24132 può avvenire tramite una connessione USB o tramite Internet. Gli aggressori possono sfruttare i sistemi vulnerabili se si trovano nel raggio d’azione e la password di rete del veicolo può essere facilmente indovinata. In alternativa, possono utilizzare il Bluetooth, in particolare nei veicoli che utilizzano l’accoppiamento Bluetooth “Just Works”, che consente ai dispositivi di accoppiarsi senza restrizioni. Sebbene alcune configurazioni Bluetooth possano richiedere un PIN, molti sistemi no, rendendo l’exploit senza clic in molti scenari.
Uri Katz, ricercatore presso Oligo Security, ha osservato che un numero significativo di sistemi si basa sull’accoppiamento Bluetooth Just Works e che molte unità principali più vecchie e di terze parti utilizzano password Wi-Fi predefinite o prevedibili. Ha aggiunto che i veicoli più nuovi stanno migliorando in questo senso, ma i sistemi legacy spesso vengono forniti con protezioni di accoppiamento minime, ponendo un rischio per la sicurezza.
L’attacco sfrutta il protocollo iAP2 di Apple, che stabilisce una sessione tra un dispositivo mobile e un sistema di infotainment di bordo (IVI). Il protocollo iAP2 autentica solo il dispositivo esterno, ovvero il sistema IVI non verifica l’autenticità del dispositivo connesso. Ciò consente a un utente malintenzionato di mascherarsi da iPhone, ottenere credenziali di rete e impartire comandi al veicolo come se fosse un dispositivo Apple legittimo.
La vulnerabilità è correlata alla chiusura dell’app all’interno del kit di sviluppo software (SDK) AirPlay e consente l’esecuzione di codice in modalità remota (RCE) con privilegi di root. Questo livello di accesso potrebbe consentire agli aggressori di spiare la posizione dei conducenti, origliare le conversazioni o distrarli durante la guida. Tuttavia, i ricercatori non sono riusciti a confermare se la vulnerabilità potesse essere utilizzata per accedere a sistemi critici per la sicurezza all’interno del veicolo.
Una delle principali preoccupazioni evidenziate dai ricercatori è la lenta adozione del cerotto da parte dell’industria automobilistica. Nonostante Apple abbia rilasciato la correzione a marzo e abbia coordinato la divulgazione ad aprile, solo pochi fornitori hanno implementato la correzione e nessuna casa automobilistica lo ha fatto. La mancanza di standardizzazione nel settore automobilistico e la lentezza dei cicli di aggiornamento contribuiscono a questo problema.
Katz ha spiegato che, a differenza degli smartphone che si aggiornano dall’oggi al domani, molti sistemi di bordo richiedono ancora installazioni manuali da parte degli utenti o visite alla concessionaria. Anche con la disponibilità dell’SDK con patch, le case automobilistiche devono adattarlo, testarlo e convalidarlo su tutte le loro piattaforme, il che richiede il coordinamento con fornitori e fornitori di middleware. Come potenziali soluzioni, suggerisce un’adozione più ampia di pipeline di aggiornamento via etere (OTA) e un coordinamento più fluido nelle catene di approvvigionamento.
Katz sottolinea che la tecnologia per gli aggiornamenti OTA esiste, ma l’allineamento organizzativo all’interno dell’industria automobilistica non è stato adeguato. Questa mancanza di coordinamento e standardizzazione rende difficile affrontare e correggere rapidamente le vulnerabilità nei sistemi dei veicoli, lasciandoli esposti a potenziali attacchi.
