Une vulnérabilité sans clic affectant Apple CarPlay, désignée CVE-2025-24132, reste largement non corrigée dans la plupart des véhicules près de six mois après la publication d’un correctif par Apple. Les chercheurs d’Oligo Security ont divulgué publiquement la vulnérabilité de débordement de mémoire tampon le 29 avril 2025, lui attribuant un score de gravité « moyen » de 6,5 sur l’échelle CVSS.
Cette vulnérabilité permet aux attaquants de prendre le contrôle des systèmes CarPlay, souvent sans nécessiter aucune interaction ou authentification de l’utilisateur. Apple a publié un correctif pour la vulnérabilité du SDK CarPlay AirPlay le 31 mars 2025 et a coordonné la divulgation avec Oligo Security. Malgré la disponibilité du correctif, un nombre important de fournisseurs et aucun constructeur automobile n’avaient mis en œuvre le correctif au 11 septembre 2025.
L’exploitation de CVE-2025-24132 peut se produire via une connexion USB ou via Internet. Les attaquants peuvent exploiter les systèmes vulnérables s’ils sont à portée et si le mot de passe réseau du véhicule est facilement deviné. Alternativement, ils peuvent utiliser Bluetooth, en particulier dans les véhicules qui utilisent le couplage Bluetooth « Just Works », qui permet aux appareils de se coupler sans restrictions. Bien que certaines configurations Bluetooth puissent nécessiter un code PIN, de nombreux systèmes ne le font pas, ce qui rend l’exploit sans clic dans de nombreux scénarios.
Uri Katz, chercheur chez Oligo Security, a noté qu’un nombre important de systèmes reposent sur le couplage Bluetooth Just Works et que de nombreuses unités principales plus anciennes et tierces utilisent des mots de passe Wi-Fi par défaut ou prévisibles. Il a ajouté que les véhicules plus récents s’améliorent à cet égard, mais que les systèmes existants sont souvent livrés avec des protections de couplage minimales, ce qui présente un risque pour la sécurité.
L’attaque exploite le protocole iAP2 d’Apple, qui établit une session entre un appareil mobile et un système d’infodivertissement embarqué (IVI). Le protocole iAP2 authentifie uniquement le périphérique externe, ce qui signifie que le système IVI ne vérifie pas l’authenticité du périphérique qui se connecte. Cela permet à un attaquant de se faire passer pour un iPhone, d’obtenir des informations d’identification réseau et d’émettre des commandes au véhicule comme s’il s’agissait d’un appareil Apple légitime.
La vulnérabilité est liée à la terminaison de l’application dans le kit de développement logiciel (SDK) AirPlay et permet l’exécution de code à distance (RCE) avec les privilèges root. Ce niveau d’accès pourrait permettre aux attaquants d’espionner l’emplacement des conducteurs, d’écouter les conversations ou de les distraire pendant qu’ils conduisent. Cependant, les chercheurs n’ont pas pu confirmer si cette vulnérabilité pouvait être utilisée pour accéder aux systèmes critiques pour la sécurité à l’intérieur du véhicule.
Une préoccupation majeure soulignée par les chercheurs est la lenteur de l’adoption du patch par l’industrie automobile. Bien qu’Apple ait publié le correctif en mars et coordonné la divulgation en avril, seuls quelques fournisseurs ont mis en œuvre le correctif, et aucun constructeur automobile ne l’a fait. Le manque de standardisation dans l’industrie automobile et la lenteur des cycles de mise à jour contribuent à ce problème.
Katz a expliqué que contrairement aux smartphones qui se mettent à jour du jour au lendemain, de nombreux systèmes embarqués nécessitent toujours une installation manuelle par les utilisateurs ou une visite chez le concessionnaire. Même avec la disponibilité du SDK corrigé, les constructeurs automobiles doivent l’adapter, le tester et le valider sur toutes leurs plateformes, ce qui nécessite une coordination avec les fournisseurs et les fournisseurs de middleware. Il suggère une adoption plus large des pipelines de mise à jour en direct (OTA) et une coordination plus fluide dans les chaînes d’approvisionnement comme solutions potentielles.
Katz souligne que la technologie pour les mises à jour OTA existe, mais que l’alignement organisationnel au sein de l’industrie automobile n’a pas rattrapé son retard. Ce manque de coordination et de standardisation rend difficile la résolution et la correction rapides des vulnérabilités des systèmes des véhicules, les exposant ainsi à des attaques potentielles.
