苹果CarPlay漏洞引安全危机，百万车辆受影响

据外媒报道，苹果 CarPlay 被发现存在一个已披露数月的安全漏洞（CVE-2025-24132），可能使全球数百万辆汽车暴露于网络攻击风险之中。尽管苹果已于今年 4 月 29 日推出修复补丁，但截至目前，绝大多数汽车厂商尚未完成相关更新的部署。

该漏洞的 CVSS 评分为 6.5，属于中等风险级别。攻击者可通过蓝牙连接目标车辆，利用 iAP2 协议中的安全缺陷获取 WiFi 认证信息，随后触发 AirPlay SDK 的缓冲区溢出问题，最终实现对 CarPlay 系统的 root 权限控制。特别值得注意的是，若车辆使用默认的“即连即用”（Just Works）蓝牙配对模式，攻击过程无需任何 PIN 码；即便启用了 PIN 验证机制，攻击者也只需获得车载屏幕显示的临时验证码即可绕过防护。

一旦成功利用此漏洞，黑客可访问车辆的位置记录、监听正在进行的通话内容，甚至可能干扰驾驶相关功能，带来潜在安全隐患。出于防止恶意利用的考虑，研究人员目前未对外公布具体技术细节。

Oligo Security 的安全专家指出，汽车行业的软件更新机制远不如智能手机灵活。由于缺乏统一的安全标准、测试流程复杂漫长，且多数系统升级仍需依赖经销商线下操作，“车辆无法像手机那样在夜间自动完成更新”，研究员 Uri Katz 表示，这正是补丁推进缓慢的主要原因。

截至目前，尚无一家汽车制造商确认已完成修复工作，用户应密切关注官方发布的更新通知，及时采取应对措施。