Una vulnerabilidad de cero clic que afecta a Apple CarPlay, designada como CVE-2025-24132, sigue sin parchearse en la mayoría de los vehículos casi medio año después de que Apple publicara una solución. Los investigadores de Oligo Security revelaron públicamente la vulnerabilidad de desbordamiento del búfer el 29 de abril de 2025, asignándole una puntuación de gravedad “media” de 6,5 en la escala CVSS.
La vulnerabilidad permite a los atacantes obtener control sobre los sistemas CarPlay, a menudo sin requerir ninguna interacción o autenticación del usuario. Apple emitió un parche para la vulnerabilidad en CarPlay AirPlay SDK el 31 de marzo de 2025 y coordinó la divulgación con Oligo Security. A pesar de la disponibilidad del parche, un número significativo de proveedores y ningún fabricante de automóviles implementaron la solución a partir del 11 de septiembre de 2025.
La explotación de CVE-2025-24132 puede ocurrir a través de una conexión USB o a través de Internet. Los atacantes pueden explotar los sistemas vulnerables si están dentro del alcance y la contraseña de red del vehículo se puede adivinar fácilmente. Alternativamente, pueden usar Bluetooth, particularmente en vehículos que utilizan el emparejamiento Bluetooth “Just Works”, que permite que los dispositivos se emparejen sin restricciones. Si bien algunas configuraciones de Bluetooth pueden requerir un PIN, muchos sistemas no lo requieren, lo que hace que el exploit no haga clic en muchos escenarios.
Uri Katz, investigador de Oligo Security, señaló que una cantidad significativa de sistemas dependen del emparejamiento Bluetooth Just Works y que muchas unidades principales antiguas y de terceros utilizan contraseñas de Wi-Fi predeterminadas o predecibles. Añadió que los vehículos más nuevos están mejorando en este sentido, pero los sistemas heredados a menudo se envían con protecciones de emparejamiento mínimas, lo que representa un riesgo para la seguridad.
El ataque aprovecha el protocolo iAP2 de Apple, que establece una sesión entre un dispositivo móvil y un sistema de información y entretenimiento a bordo del vehículo (IVI). El protocolo iAP2 autentica sólo el dispositivo externo, lo que significa que el sistema IVI no verifica la autenticidad del dispositivo que se conecta. Esto permite a un atacante hacerse pasar por un iPhone, obtener credenciales de red y emitir comandos al vehículo como si fuera un dispositivo Apple legítimo.
La vulnerabilidad está relacionada con la terminación de la aplicación dentro del kit de desarrollo de software (SDK) AirPlay y permite la ejecución remota de código (RCE) con privilegios de root. Este nivel de acceso podría permitir a los atacantes espiar la ubicación de los conductores, escuchar conversaciones o distraerlos mientras conducen. Sin embargo, los investigadores no pudieron confirmar si la vulnerabilidad podría usarse para acceder a sistemas críticos para la seguridad dentro del vehículo.
Una de las principales preocupaciones destacadas por los investigadores es la lenta adopción del parche por parte de la industria automotriz. A pesar de que Apple lanzó la solución en marzo y coordinó la divulgación en abril, solo unos pocos proveedores implementaron la solución y ningún fabricante de automóviles lo hizo. La falta de estandarización en la industria automotriz y los lentos ciclos de actualización contribuyen a este problema.
Katz explicó que, a diferencia de los teléfonos inteligentes que se actualizan de la noche a la mañana, muchos sistemas de vehículos aún requieren instalaciones manuales por parte de los usuarios o visitas al concesionario. Incluso con la disponibilidad del SDK parcheado, los fabricantes de automóviles deben adaptarlo, probarlo y validarlo en sus plataformas, lo que requiere coordinación con proveedores y proveedores de middleware. Sugiere una adopción más amplia de canales de actualización inalámbrica (OTA) y una coordinación más fluida en las cadenas de suministro como posibles soluciones.
Katz enfatiza que la tecnología para las actualizaciones OTA existe, pero la alineación organizacional dentro de la industria automotriz no se ha puesto al día. Esta falta de coordinación y estandarización dificulta abordar y parchear rápidamente las vulnerabilidades en los sistemas de los vehículos, dejándolos expuestos a posibles ataques.
