El 29 de abril de 2025, Oligo Security reveló una vulnerabilidad de desbordamiento del búfer en Apple CarPlay, identificada como CVE-2025-24132. La vulnerabilidad tiene un puntaje CVSS de 6.5 (medio) y permite el acceso no autorizado a los sistemas de CARPlay, a menudo sin requerir la interacción o la autenticación del usuario.
Cómo funciona la vulnerabilidad de CarPlay
Un atacante puede explotar CVE-2025-24132 para controlar un Apple Carplay Sistema a través de una conexión USB, Internet o el emparejamiento de Bluetooth «simplemente funciona». El método «Just Works» es una preocupación significativa porque permite que los dispositivos se conecten sin restricción, creando una apertura para el acceso no autorizado. El exploit se dirige al protocolo IAP2 de Apple, que gestiona la conexión entre un dispositivo móvil y el sistema de infoentretenimiento de un vehículo (IVI). El protocolo solo autentica el sistema IVI, no el dispositivo externo que se conecta a él. Esta autenticación unidireccional permite que un atacante se haga pasar por un iPhone, intercepte las credenciales de red y tome el control de la red del vehículo para emitir comandos.
Uri Katz, un investigador de seguridad de Oligo, señaló: «No tenemos porcentajes exactos, porque varía según el proveedor y el modelo, pero nuestras pruebas encontraron que un número significativo de sistemas dependen solo de un emparejamiento Bluetooth, y muchas unidades de cabeza de terceros y de terceros usan contraseñas de Wi-Fi predecibles o predecibles».
Aunque los detalles técnicos son limitados, la actualización de seguridad de Apple de abril de 2025 sugiere que el problema se relaciona con la terminación de la aplicación. La vulnerabilidad se encuentra en el Kit de desarrollo de software AirPlay (SDK) y habilita la ejecución de código remoto (RCE) con privilegios raíz.
Riesgos potenciales para los conductores
Ganar RCE a nivel de raíz le da a un atacante un control extenso sobre el sistema de información y entretenimiento. Este acceso podría permitirles espiar la ubicación de un conductor, escuchar las conversaciones o interrumpir al conductor mientras el vehículo está en funcionamiento. La investigación de Oligo Security no confirmó si este acceso podría extenderse a los sistemas críticos de seguridad de un vehículo.
La respuesta lenta de la industria deja los sistemas vulnerables
Apple lanzó un parche para CVE-2025-24132 el 31 de marzo de 2025, y coordinó la divulgación pública con Oligo Security para el 29 de abril de 2025. A pesar de que el parche está disponible, la adopción de la industria automotriz ha sido lenta. A mediados de septiembre de 2025, cuatro meses y medio después de la lanzamiento de la solución, pocos proveedores lo han implementado. En particular, ningún fabricante de automóviles ha actualizado sus sistemas, dejando muchos vehículos expuestos a la vulnerabilidad.
Desafíos en las actualizaciones de software automotriz
La implementación de parche lento es causada por varios factores dentro de la industria automotriz, incluida la falta de estandarización, los ciclos de actualización lenta y la necesidad de instalaciones manuales en un concesionario.
«A diferencia de los teléfonos que se actualizan durante la noche, muchos sistemas internos aún requieren instalaciones manuales por parte de usuarios o visitas de concesionarios», declaró Katz. «Incluso cuando Apple envió el SDK parcheado, los fabricantes de automóviles deben adaptarse, probarlo y validarlo en sus plataformas, lo que requiere coordinación con proveedores y proveedores de middleware».
Para mejorar la seguridad, Oligo Security recomienda una adopción más amplia de tuberías actualizadas por el aire (OTA) y una mejor coordinación en toda la cadena de suministro. Katz agregó que si bien «la tecnología existe, pero la alineación organizacional no ha alcanzado». La optimización de estos procesos es necesario para implementar parches de seguridad más rápidamente.
