Eine Zero-Click-Schwachstelle, die Apple CarPlay betrifft und als CVE-2025-24132 bezeichnet wird, bleibt in den meisten Fahrzeugen fast ein halbes Jahr nach der Veröffentlichung eines Fixes durch Apple weitgehend ungepatcht. Forscher von Oligo Security haben die Pufferüberlauf-Schwachstelle am 29. April 2025 öffentlich bekannt gegeben und ihr einen „mittleren“ Schweregrad von 6,5 auf der CVSS-Skala zugewiesen.
Die Sicherheitslücke ermöglicht es Angreifern, die Kontrolle über CarPlay-Systeme zu erlangen, oft ohne dass eine Benutzerinteraktion oder Authentifizierung erforderlich ist. Apple hat am 31. März 2025 einen Patch für die Schwachstelle im CarPlay AirPlay SDK veröffentlicht und die Offenlegung mit Oligo Security koordiniert. Trotz der Verfügbarkeit des Patches haben bis zum 11. September 2025 eine beträchtliche Anzahl von Anbietern und kein Autohersteller den Fix implementiert.
Die Ausnutzung von CVE-2025-24132 kann über eine USB-Verbindung oder über das Internet erfolgen. Angreifer können anfällige Systeme ausnutzen, wenn sie sich in Reichweite befinden und das Netzwerkpasswort des Fahrzeugs leicht zu erraten ist. Alternativ können sie Bluetooth verwenden, insbesondere in Fahrzeugen, die über die Bluetooth-Kopplung „Just Works“ verfügen, die eine uneingeschränkte Kopplung von Geräten ermöglicht. Während für einige Bluetooth-Konfigurationen möglicherweise eine PIN erforderlich ist, ist dies bei vielen Systemen nicht der Fall, sodass der Exploit in vielen Szenarien ohne Klick ausgeführt werden kann.
Uri Katz, ein Forscher bei Oligo Security, stellte fest, dass eine beträchtliche Anzahl von Systemen auf die Bluetooth-Kopplung von Just Works angewiesen sind und dass viele ältere Headunits und Drittanbieter-Headunits standardmäßige oder vorhersehbare WLAN-Passwörter verwenden. Er fügte hinzu, dass neuere Fahrzeuge in dieser Hinsicht Verbesserungen erzielen, ältere Systeme jedoch oft mit minimalem Pairing-Schutz ausgeliefert werden, was ein Sicherheitsrisiko darstellt.
Der Angriff nutzt das iAP2-Protokoll von Apple, das eine Sitzung zwischen einem mobilen Gerät und einem IVI-System (In-Vehicle Infotainment) aufbaut. Das iAP2-Protokoll authentifiziert nur das externe Gerät, was bedeutet, dass das IVI-System die Authentizität des Verbindungsgeräts nicht überprüft. Dies ermöglicht es einem Angreifer, sich als iPhone auszugeben, Netzwerkanmeldeinformationen zu erhalten und Befehle an das Fahrzeug zu erteilen, als wäre es ein legitimes Apple-Gerät.
Die Sicherheitslücke steht im Zusammenhang mit der App-Beendigung innerhalb des AirPlay Software Development Kit (SDK) und ermöglicht Remote Code Execution (RCE) mit Root-Rechten. Diese Zugriffsebene könnte es Angreifern ermöglichen, den Standort von Fahrern auszuspionieren, Gespräche abzuhören oder sie während der Fahrt abzulenken. Allerdings konnten die Forscher nicht bestätigen, ob die Schwachstelle für den Zugriff auf sicherheitskritische Systeme im Fahrzeug genutzt werden könnte.
Ein großes Problem, das die Forscher hervorheben, ist die langsame Einführung des Patches durch die Automobilindustrie. Obwohl Apple den Fix im März veröffentlichte und die Offenlegung im April koordinierte, haben nur wenige Anbieter den Fix implementiert und kein Autohersteller hat dies getan. Zu diesem Problem tragen die mangelnde Standardisierung in der Automobilindustrie und die langsamen Aktualisierungszyklen bei.
Katz erklärte, dass viele fahrzeuginterne Systeme im Gegensatz zu Smartphones, die über Nacht aktualisiert werden, immer noch manuelle Installationen durch Benutzer oder Besuche beim Händler erfordern. Auch wenn das gepatchte SDK verfügbar ist, müssen Autohersteller es auf ihren Plattformen anpassen, testen und validieren, was eine Abstimmung mit Lieferanten und Middleware-Anbietern erfordert. Als mögliche Lösungen schlägt er eine breitere Einführung von Over-the-Air (OTA)-Update-Pipelines und eine reibungslosere Koordination in den Lieferketten vor.
Katz betont, dass die Technologie für OTA-Updates vorhanden sei, die organisatorische Ausrichtung innerhalb der Automobilindustrie jedoch nicht aufgeholt habe. Dieser Mangel an Koordination und Standardisierung macht es schwierig, Schwachstellen in Fahrzeugsystemen schnell zu beheben und zu beheben, wodurch sie potenziellen Angriffen ausgesetzt werden.
