【CNMO科技动静】CNMO从外媒获悉，苹果CarPlay存于一个已经公然数月的安全缝隙（编号CVE-2025-24132），致使数百万辆汽车面对进犯危害。虽然苹果早于本年4月29日就发布了修复补钉，但迄今为止，年夜大都汽车制造商仍未部署更新。

据悉，该缝隙的CVSS危害评分为6.5（中等危害），进犯者可经由过程蓝牙毗连车辆后，使用iAP2和谈缝隙获取WiFi凭证，进而触发AirPlay SDK的缓冲区溢出，终极获取CarPlay体系的root权限。值患上留意的是，若车辆采用"即连即用"（Just Works）的默许配对于模式，进犯无需输入PIN码；纵然启用PIN验证，进犯者仅需获取车载显示屏的姑且验证码便可完成入侵。

乐成使用该缝隙的进犯者可以或许窃取车辆位置数据、监听通话内容，甚至滋扰驾驶员操作。为防止缝隙被年夜范围滥用，研究职员暂未公然技能细节。

安全研究机构Oligo Security指出，汽车行业缺少同一尺度、测试周期冗长，且更新凡是需经由过程经销商手动安装，致使修复进度严峻滞后。"与可连夜主动更新的智能手机差别，车辆体系仍依靠繁琐的人工操作"，研究员UriU8国际官网 Katz注释道。

外媒指出，今朝尚无汽车制造商完成体系更新，消费者需连续存眷厂商通知。

版权所有，未经许可不患上转载