【jinnianhui.com科技消息】jinnianhui.com从外媒获悉，苹果CarPlay存在一个已公开数月的安全漏洞（编号CVE-2025-24132），导致数百万辆汽车面临攻击风险。虽然苹果早在今年4月29日就发布了修复补丁，但迄今为止，大多数汽车制造商仍未部署更新。

据悉，该漏洞的CVSS风险评分为6.5（中等风险），攻击者可通过蓝牙连接车辆后，利用iAP2协议漏洞获取WiFi凭证，进而触发AirPlay SDK的缓冲区溢出，最终获取CarPlay系统的root权限。值得注意的是，若车辆采用"即连即用"（Just Works）的默认配对模式，攻击无需输入PIN码；即使启用PIN验证，攻击者仅需获取车载显示屏的临时验证码即可完成入侵。

成功利用该漏洞的攻击者能够窃取车辆位置数据、监听通话内容，甚至干扰驾驶员操作。为避免漏洞被大规模滥用，研究人员暂未公开技术细节。

安全研究机构Oligo Security指出，汽车行业缺乏统一标准、测试周期冗长，且更新通常需通过经销商手动安装，导致修复进度严重滞后。"与可连夜自动更新的智能手机不同，车辆系统仍依赖繁琐的人工操作"，研究员Uri Katz解释道。

外媒指出，目前尚无汽车制造商完成系统更新，消费者需持续关注厂商通知。

版权所有，未经许可不得转载