Le 29 avril 2025, Oligo Security a révélé une vulnérabilité de débordement de tampon dans Apple Carplay, identifié comme CVE-2025-24132. La vulnérabilité a un score CVSS de 6,5 (médium) et permet un accès non autorisé aux systèmes Carplay, souvent sans nécessiter une interaction ou une authentification des utilisateurs.
Comment fonctionne la vulnérabilité Carplay
Un attaquant peut exploiter CVE-2025-24132 Pour contrôler un Apple Carplay Système via une connexion USB, Internet ou « Just Works » Bluetooth appariement. La méthode « Just Works » est une préoccupation importante car elle permet aux appareils de se connecter sans restriction, créant une ouverture pour un accès non autorisé. L’exploit cible le protocole IAP2 d’Apple, qui gère la connexion entre un appareil mobile et le système d’infodivertissement d’un véhicule (IVI). Le protocole n’authentifie que le système IVI, et non le périphérique externe qui s’y connectait. Cette authentification unidirectionnelle permet à un attaquant d’identiter un iPhone, d’intercepter les informations d’identification du réseau et de prendre le contrôle du réseau du véhicule pour émettre des commandes.
Uri Katz, un chercheur en sécurité d’Oligo, a noté: « Nous n’avons pas de pourcentages exacts, car il varie selon les fournisseurs et le modèle, mais nos tests ont révélé qu’un nombre important de systèmes reposent sur un appariement Bluetooth, et de nombreuses unités de tête plus anciennes et tierces utilisent des mots de passe Wi-Fi par défaut ou prévisibles. »
Bien que les détails techniques soient limités, la mise à jour de la sécurité d’Apple à partir d’avril 2025 suggère que le problème est lié à la fin de l’application. La vulnérabilité est située dans le kit de développement de logiciels AirPlay (SDK) et permet l’exécution du code distant (RCE) avec les privilèges racine.
Risques potentiels pour les conducteurs
L’obtention du RCE au niveau de la racine donne un contrôle important à un attaquant sur le système d’infodivertissement. Cet accès pourrait leur permettre d’espionner sur l’emplacement d’un conducteur, d’écouter les conversations ou de perturber le conducteur pendant que le véhicule est en service. Les recherches d’Oligo Security n’ont pas confirmé si cet accès pouvait s’étendre aux systèmes critiques de sécurité d’un véhicule.
La réponse lente de l’industrie laisse les systèmes vulnérables
Apple a publié un correctif pour CVE-2025-24132 le 31 mars 2025 et a coordonné la divulgation publique avec Oligo Security pour le 29 avril 2025. Bien que le correctif soit disponible, l’adoption de l’industrie automobile a été lente. À la mi-septembre 2025, quatre mois et demi après la sortie du correctif, peu de fournisseurs l’ont implémenté. Notamment, aucun constructeur automobile n’a mis à jour leurs systèmes, laissant de nombreux véhicules exposés à la vulnérabilité.
Défis dans les mises à jour des logiciels automobiles
Le déploiement lent des patchs est causé par plusieurs facteurs au sein de l’industrie automobile, y compris un manque de normalisation, des cycles de mise à jour lents et le besoin d’installations manuelles chez un concessionnaire.
« Contrairement aux téléphones qui mettent à jour du jour au lendemain, de nombreux systèmes de véhicules nécessitent toujours des installations manuelles par les utilisateurs ou les visites de concessionnaires », a déclaré Katz. « Même lorsque Apple a expédié le SDK corrigé, les constructeurs automobiles doivent l’adapter, le tester et le valider sur leurs plateformes, nécessitant une coordination avec les fournisseurs et les fournisseurs de middleware. »
Pour améliorer la sécurité, Oligo Security recommande une adoption plus large des pipelines de mise à jour en direct (OTA) et une meilleure coordination tout au long de la chaîne d’approvisionnement. Katz a ajouté que même si « la technologie existe, mais l’alignement organisationnel n’a pas rattrapé ». La rationalisation de ces processus est nécessaire pour déployer des correctifs de sécurité plus rapidement.
