出典:The Bold Bureau(Alamy Stock Photo経由)
パッチが公開されてからほぼ半年が経過した今も、わずかなベンダーしかApple CarPlayのゼロクリック脆弱性を修正しておらず、自動車メーカーは一社も対応していません。
4月29日、Oligo Securityの研究者がバッファオーバーフローの脆弱性を公開しました。これにより攻撃者がCarPlayを自由に操作できる可能性があります。さらに多くの場合、ユーザーの操作や認証を必要としません。CVE-2025-24132として割り当てられ、共通脆弱性評価システム(CVSS)で「中」6.5の深刻度スコアを受けました。
パッチはそれ以来ずっと利用可能です。しかし4か月半が経過した現在も、研究者によればごく一部のベンダーしか実際にシステムを修正しておらず、自動車メーカーは一社も対応していません。近い将来に対応される見込みもほとんどありません。
CVE-2025-24132を利用したApple CarPlayの攻撃
CVE-2025-24132を悪用するには、攻撃者はUSB接続またはインターネット経由でCarPlayにアクセスする必要があります。十分近い距離にいて、車両のネットワークパスワードが推測しやすいものであれば、攻撃は簡単です。そうでない場合や、セキュリティ上の理由で車がネットワークを公開していない場合は、別の方法が必要になります。
その別の方法がBluetoothです。幸運なことに、多くの車は「Just Works」Bluetoothペアリングを採用しており、どんなデバイスでも制限なくペアリングできます。一部のBluetooth設定では、車載インフォテインメント(IVI)画面に表示されたPINをユーザーが入力する必要があり、その場合この攻撃はワンクリックとなります。最悪の場合、一部のシステムはデフォルトで検出不可となっており、車内に座っている人が手動で操作を行う必要があります。
通常、これらの追加手順は必要ありません。「正確な割合はベンダーやモデルによって異なるため分かりませんが、私たちのテストでは多くのシステムがJust Works Bluetoothペアリングに依存しており、多くの古いヘッドユニットやサードパーティ製ユニットはデフォルトまたは予測しやすいWi-Fiパスワードを使用していることが分かりました」とOligo Securityの研究者Uri Katz氏は報告しています。「新しい車両は改善されていますが、長年使われるレガシーシステムは最小限のペアリング保護しか備えていないことが多く、これは他の多くのIoT機器にも共通する問題です。」
一般的なBluetooth接続からCarPlayの乗っ取りへの道筋は、AppleのiAP2プロトコルを通じて行われます。iAP2はモバイルデバイスとIVI間でセッションを確立し、ネットワーク認証情報などをやり取りします。重要なのは、認証が一方向のみで行われることです。外部デバイスは正規のIVIに接続していることを確認しますが、IVI側はその逆を行いません。このため、攻撃者は自分のコンピュータをiPhoneなどに偽装し、ネットワーク認証情報を取得して本物のiPhoneのように車両に接続し、命令を出し始めることができます。
Oligo SecurityはCVE-2025-24132の技術的詳細をまだ公開しておらず、通常の責任ある情報公開のベストプラクティスよりもはるかに長い猶予をベンダーに与えています。4月のAppleのセキュリティアップデートでは、この問題がアプリの終了処理に関係していることが示されています。詳細は不明ですが、AirPlayソフトウェア開発キット(SDK)の問題であり、root権限でのリモートコード実行(RCE)が可能となります。
rootレベルのRCEが可能になると、ドライバーの位置情報の監視や会話の盗聴、運転中の注意散漫など、あらゆる影響が考えられます。ただし、研究者らの調査範囲では、攻撃者がこのアクセス権を使って車両の内部の安全性に関わるシステムまで侵入できるかどうかは不明です。
なぜ車両のパッチ適用は困難なのか
問題そのもの以上に懸念されるのは、自動車業界の対応の遅さです。Appleは3月31日に修正をリリースし、4月29日にOligoと情報公開を調整しました。それ以来、Oligoによれば実際に修正を実装したのはごく一部のベンダーのみで、自動車メーカーは一社も対応していません。
これは無関心や無知だけが原因ではないと研究者らは認めています。特定のSDKに依存するすべてのベンダーが修正を実装するのは非常に困難です。特に自動車業界ではアップデートサイクルが遅く、その要件も煩雑です。
Katz氏は「根本的な課題は標準化の欠如です。スマートフォンのように一晩でアップデートされるわけではなく、多くの車載システムはいまだにユーザーによる手動インストールやディーラーへの持ち込みが必要です。Appleがパッチ済みSDKを提供しても、自動車メーカーは自社プラットフォーム全体で適用・テスト・検証しなければならず、サプライヤーやミドルウェアプロバイダーとの調整が必要です」と説明します。
彼が提案する構造的な解決策は、OTA(Over-the-Air)アップデートパイプラインのより広範な導入と、より円滑なサプライチェーンの連携です。Katz氏は「技術自体は存在しますが、組織的な連携が追いついていません」と指摘しています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/apple-carplay-rce-exploit