Source: https://www.darkreading.com/vulnerabilities-threats/apple-carplay-rce-exploit
🛡 概要
Apple CarPlayに存在するCVE-2025-24132という脆弱性は、リモートコード実行(RCE)を可能にする深刻な問題です。Oligo Securityの研究者によって発表されたこの脆弱性は、ユーザーの操作や認証なしに攻撃者がCarPlayを支配できる可能性を持っています。2023年4月29日に公開されたこの情報は、CVSSで「中程度」の6.5のスコアを受けています。パッチはリリースされましたが、ほとんどの自動車メーカーは未だに修正しておらず、早急な対策が求められています。
🔍 技術詳細
CVE-2025-24132を利用するには、攻撃者はUSB接続またはインターネット経由でCarPlayにアクセスする必要があります。近距離で単純なネットワークパスワードがあれば簡単ですが、Bluetoothを介しても侵入可能です。多くの車両は「Just Works」Bluetoothペアリングを使用しており、これにより制限なしで接続できます。この脆弱性は、AppleのiAP2プロトコルを介してCarPlayにアクセスするため、外部デバイスが正当なIVIに接続しているかを確認するのみで、IVI側は確認しません。これにより、攻撃者が自分のデバイスをiPhoneとして偽装し、ネットワーク情報を取得できます。Oligo Securityは、具体的な技術詳細をまだ公開していませんが、AirPlay SDKに関連する問題であり、ルート権限でのRCEを可能にします。
⚠ 影響
この脆弱性が悪用されると、運転手の位置情報を監視したり、会話を盗聴したり、運転中の注意をそらすことが可能になります。特に、自動車の内部安全システムにまで侵入される可能性が懸念されていますが、研究者たちはその深刻度を明言できていません。自動車業界は、Appleが3月31日に修正パッチをリリースしたにもかかわらず、未だに多くのメーカーが修正を行っていない状況です。これにより、運転者の安全が脅かされる可能性が高まっています。
🛠 対策
自動車メーカーは、CVE-2025-24132の修正を迅速に実施する必要があります。課題としては、各メーカーが特定のSDKの修正を適用する際の標準化の欠如が挙げられます。多くの車両システムは、手動でのインストールやディーラー訪問を必要とします。Oligo SecurityのUri Katz氏は、OTA(Over-The-Air)アップデートパイプラインの導入や、サプライチェーン内でのスムーズな調整が必要だと指摘しています。技術は存在しますが、組織的な整合性が追いついていないのが現状です。
