研究者らは、攻撃者が運転者をスパイしたり注意をそらしたりできるリモートCarPlayハックの詳細を公開しました。
ランタイムアプリケーションセキュリティ企業Oligoは今年初め、同社の研究者がAppleのAirPlayワイヤレス通信プロトコルおよび付属のSDKに潜在的に深刻な脆弱性を発見したと明らかにし、これによりハッカーがデバイスをリモートで乗っ取ることが可能になると警告しました。
AirPlayはApple製品で使用されていますが、Appleは他のベンダーにもライセンスを提供しており、テレビ、オーディオシステム、ストリーミングデバイスなどにも実装されています。
Oligoは当時、これらの脆弱性がまとめてAirBorneとして追跡されており、リモートコード実行、セキュリティバイパス、情報漏洩、DoS攻撃、MitM攻撃に悪用される可能性があると指摘しました。
これらの脆弱性の一つであるCVE-2025-24132は、攻撃者がワーム化可能なゼロクリックリモートコード実行エクスプロイトを作成し、侵害されたデバイスを追加攻撃の発射台として利用できるようにします。
Oligoは当時、ユーザーの操作なしにCarPlayシステムに対する攻撃も可能だと述べていました。同社は現在、CarPlay、特にApple CarPlayへの攻撃に関する追加の詳細を共有しています。
このサイバーセキュリティ企業は、攻撃者がUSB経由でターゲットのCarPlayシステムに接続することで有線攻撃を実行できると説明しています。しかし、無線攻撃も可能であり、多くのベンダーがデフォルトのWi-Fiパスワードを使用していることを利用してWi-Fi経由でも攻撃できます。
無線攻撃はBluetooth経由でも実行可能です。攻撃者は、Bluetoothの範囲内にいればターゲットのCarPlayシステムとペアリングできます。PINペアリングが有効な場合、攻撃者は車のインフォテインメントシステムの画面に表示される4桁のPINを確認できます。場合によっては「just works」ペアリングが有効になっており、攻撃者はユーザーの操作なしに簡単にシステムに接続できます。
広告。スクロールして続きをお読みください。
この攻撃は、CarPlayがワイヤレス接続を確立するために使用するiAP2プロトコルを標的としています。iAP2は一方向認証を使用しており、電話が車両のヘッドユニットを認証しますが、ヘッドユニットは電話を認証しません。
「簡単に言えば、車は正規のデバイスと通信しているかを確認しますが、デバイス側はiAP2に対応するクライアントであればどんなものでも受け入れます。つまり、Bluetooth無線と互換性のあるiAP2クライアントを持つ攻撃者は、iPhoneを偽装し、Wi-Fi認証情報を要求し、アプリの起動をトリガーし、任意のiAP2コマンドを発行できるということです」とOligoは説明しています。
ハッカーがBluetoothペアリングプロセスを完了すると、iAP2で認証し、WiFi認証情報を取得し、車のホットスポットに接続できます。そこから、前述のAirPlay SDKの脆弱性(CVE-2025-24132)を悪用して、root権限でリモートコード実行を達成できます。
攻撃者はその後、画面を乗っ取り画像を表示したり音声を再生したりして運転者の注意をそらすことができます。また、会話を盗聴したり車両の位置を追跡したりすることも可能です。
AppleはCVE-2025-24132を4月下旬に修正しましたが、パッチを製品に組み込んだベンダーはごくわずかであり、Oligoは自動車メーカーがパッチを適用した例を把握していません。そのため、同社は完全な技術的詳細を公開していません。
「Appleが修正版SDKをリリースした後でも、自動車メーカーごとに自社システム向けに適用、テスト、検証を行う必要があり、ヘッドユニットサプライヤー、社内ソフトウェアチーム、場合によってはミドルウェアプロバイダーとの調整が必要です。各段階で遅延の可能性があり、強固な協力体制が求められます」とOligoは説明しています。
「その結果、長期間にわたるリスクが残ります」と同社は付け加えました。「堅牢なOTAパイプラインを持つ高級モデルは迅速にパッチが適用されるかもしれませんが、多くの車種では数か月、数年、あるいはまったくアップデートが提供されないこともあります。そのため、『公式』な修正が存在した後も、何百万台もの車両が潜在的に危険にさらされ続けることになります。」