【CNMO 科技消息】CNMO 从外媒获悉，苹果 CarPlay 存在一个已公开数月的安全漏洞（编号 CVE-2025-24132），导致数百万辆汽车面临攻击风险。虽然苹果早在今年 4 月 29 日就发布了修复补丁，但迄今为止，大多数汽车制造商仍未部署更新。

据悉，该漏洞的 CVSS 风险评分为 6.5（中等风险），攻击者可通过蓝牙连接车辆后，利用 iAP2 协议漏洞获取 WiFi 凭证，进而触发 AirPlay SDK 的缓冲区溢出，最终获取 CarPlay 系统的 root 权限。值得注意的是，若车辆采用 " 即连即用 "（Just Works）的默认配对模式，攻击无需输入 PIN 码；即使启用 PIN 验证，攻击者仅需获取车载显示屏的临时验证码即可完成入侵。

成功利用该漏洞的攻击者能够窃取车辆位置数据、监听通话内容，甚至干扰驾驶员操作。为避免漏洞被大规模滥用，研究人员暂未公开技术细节。

安全研究机构 Oligo Security 指出，汽车行业缺乏统一标准、测试周期冗长，且更新通常需通过经销商手动安装，导致修复进度严重滞后。" 与可连夜自动更新的智能手机不同，车辆系统仍依赖繁琐的人工操作 "，研究员 Uri Katz 解释道。

外媒指出，目前尚无汽车制造商完成系统更新，消费者需持续关注厂商通知。