【米蘭·(milan)中國官方網(wǎng)站】CNMO從外媒獲悉，蘋果CarPlay存在一個已公開數(shù)月的安全漏洞（編號CVE-2025-24132），導(dǎo)致數(shù)百萬輛汽車面臨攻擊風(fēng)險。雖然蘋果早在今年4月29日就發(fā)布了修復(fù)補丁，但迄今為止，大多數(shù)汽車制造商仍未部署更新。

據(jù)悉，該漏洞的CVSS風(fēng)險評分為6.5（中等風(fēng)險），攻擊者可通過藍(lán)牙連接車輛后，利用iAP2協(xié)議漏洞獲取WiFi憑證，進而觸發(fā)AirPlay SDK的緩沖區(qū)溢出，最終獲取CarPlay系統(tǒng)的root權(quán)限。值得注意的是，若車輛采用"即連即用"（Just Works）的默認(rèn)配對模式，攻擊無需輸入PIN碼；即使啟用PIN驗證，攻擊者僅需獲取車載顯示屏的臨時驗證碼即可完成入侵。

成功利用該漏洞的攻擊者能夠竊取車輛位置數(shù)據(jù)、監(jiān)聽通話內(nèi)容，甚至干擾駕駛員操作。為避免漏洞被大規(guī)模濫用，研究人員暫未公開技術(shù)細(xì)節(jié)。

安全研究機構(gòu)Oligo Security指出，汽車行業(yè)缺乏統(tǒng)一標(biāo)準(zhǔn)、測試周期冗長，且更新通常需通過經(jīng)銷商手動安裝，導(dǎo)致修復(fù)進度嚴(yán)重滯后。"與可連夜自動更新的智能手機不同，車輛系統(tǒng)仍依賴繁瑣的人工操作"，研究員Uri Katz解釋道。

外媒指出，目前尚無汽車制造商完成系統(tǒng)更新，消費者需持續(xù)關(guān)注廠商通知。

版權(quán)所有，未經(jīng)許可不得轉(zhuǎn)載