資安漏洞攻擊IVI系統　CarPlay威脅AirBorne現形

Oligo Security最近的研究揭露了存在於Apple AirPlay技術中一組高風險的漏洞，被統稱為「AirBorne」。雖然AirPlay通常與iPhone、iPad與Mac等蘋果裝置之間的串流功能相關，但這些存在Apple CarPlay的漏洞實際的影響範圍更廣，涵蓋了現代車載資訊娛樂系統(IVI)。
對汽車產業而言，這些發現具有重大意義。CarPlay已整合進超過800款車型中，這些漏洞不僅威脅駕駛安全，也危及車輛的資安防護。對OEM、Tier 1供應商及整個汽車生態系的資安團隊而言，了解AirBorne的範圍與風險，已成當務之急。
什麼是AirBorne漏洞？
AirBorne漏洞源自於Apple的AirPlay協定及其軟體開發工具包(SDK)的嚴重缺陷，該SDK是IVI系統中CarPlay無線連接的基礎。這些漏洞分別是CVE-2025-24252和CVE-2025-24132，導致遠端程式碼執行(RCE)。主要漏洞包括：
CVE-2025-24252
這是Use-After-Free(UAF)漏洞，當AirPlay的記憶體管理失敗，試圖存取已釋放的記憶體時就會出現。攻擊者可利用這一點來破壞記憶體並注入惡意程式碼。若與其他漏洞結合，更有助於實現零點擊遠端程式執行(zero-click RCE)，不需使用者互動。這種漏洞甚至可能變得蠕蟲化(Wormable)，可在同一Wi-Fi網路中的裝置之間傳播。
CVE-2025-24132
此漏洞為AirPlay SDK中的堆疊溢位(Stack-Based Buffer Overflow)，由於輸入驗證的不充分，導致允許攻擊者傳送過大的資料，溢出緩衝區還覆蓋相鄰記憶體。根據連線情況，這個漏洞可透過Wi-Fi實現零點擊RCE，或透過藍牙達成單點擊RCE。
這些漏洞利用了AirPlay透過連接埠7000進行的通信，該連接埠使用HTTP和即時串流協定(RTSP)傳輸資料。資料通常以plist格式交換，在此過程中若資料被不當解析，則可能產生額外的攻擊媒介。
AirBorne攻擊CarPlay車輛情境
以下情境演示了攻擊者如何利用AirBorne漏洞入侵支援CarPlay的IVI系統：
・初始存取：攻擊者連上車輛的Wi-Fi熱點(多為啟用無線CarPlay而開啟)，若熱點使用預設或弱密碼，便易於突破。
・漏洞利用：透過連接埠7000，攻擊者送出帶有惡意的plist負載的HTTP請求，這會觸發CVE-2025-24132緩衝區溢位漏洞，進而注入可執行程式碼覆蓋掉記憶體。
・程式碼執行：掌握系統控制權後，攻擊者可在駕駛者毫無察覺的情況下操控車內IVI的顯示器、播放聲音或存取麥克風。
・持久滲透與擴散：攻擊者可安裝持久性惡意軟體，即使Wi-Fi連線中斷仍可繼續運作。若具蠕蟲能力，更可能感染同網路的其他車輛或裝置。
這個案例強調了看似很微小的資料處理小疏失，都可能會導致整個系統淪陷，為連網車輛帶來重大威脅。
AirBorne實際造成影響
如果成功利用AirBorne漏洞來攻擊支援CarPlay的車輛，其後果將遠遠超出技術上的不便。這些風險直接涉及使用者安全、隱私和信任：
・隱私侵犯：攻擊者可能利用麥克風偷聽談話，或讀取GPS資料追蹤車輛行蹤。
・駕駛分心：惡意操控IVI系統，可能導致突然的音訊播放、異常畫面顯示、或者是其他預期之外的行為，這些干擾在車輛行駛過程中尤其危險。
・更廣泛的系統入侵：若受損的IVI系統與車輛其他系統的整合度高，攻擊者甚至可能以此為墊腳石，進行更進一步滲透，造成更嚴重的攻擊，具體將取決於系統設計以及整合狀況。
對於汽車產業來說，這已經超出典型軟體漏洞的範疇，而是涉及駕駛與乘客安全和消費者信任的問題。駕駛和乘客希望車輛的連網功能能夠增強他們的體驗，而不是透過車輛的IVI系統帶來數位威脅或者是監視。
要了解AirBorne漏洞的真正風險，不妨思考看看它們在日常生活下會如何發揮作用、影響到使用者安全：
公共充電站或停車場
在公共場所為電動車充電時， 走進附近的便利商店或咖啡館吃點東西，卻沒有注意到CarPlay熱點仍然處於活動狀態並且可以被發現。在附近的攻擊者連接到它並悄悄地注入惡意程式碼，當車主拿著咖啡回來時，電動車可能已經被入侵，正在默默記錄駕駛模式或追蹤下一個目的地。幾天后，螢幕可能會突然閃爍，或者揚聲器可能會毫無預警地發出刺耳的聲音，影響行車安全。
公司車庫與維修服務中心
攻擊者針對停放在公司車庫中的公司車隊下手，隨著駕駛正在休息或是等待乘客或者貨物，車輛處於啟動、空轉狀態時，攻擊者趁機部署自動攻擊腳本，並悄悄連接到暴露的無線CarPlay網路。從那裡，攻擊者可以植入惡意軟體來記錄GPS 位置或記錄車內對話，使其成為企業間諜活動的理想設定。汽車維修服務中心也有類似的風險。當汽車在進行維護或維修時，它通常會連接到診斷工具或是有一段長時間無人看管。這時候如果CarPlay熱點保持活動狀態，攻擊者可以利用此視窗簡易注入惡意程式碼。
行駛途中
看到紅燈停車等候的時候， 旁邊車輛中的攻擊者可利用近距離攻擊藍牙配對漏洞。幾秒鐘之內，就能入侵並存取車主的IVI系統，而啟動麥克風並開始竊聽，而這一切都是在駕駛者不知情的情況下進行的。入侵過程悄無聲息，不會留下任何明顯的入侵跡象，而駕駛會在不知不覺中繼續駕駛。
用戶與車廠該如何因應
對一般車主而言，儘速更新車輛韌體是最直接的防護措施。配備Apple CarPlay的車輛多半很快會收到來自車廠的韌體更新通知，使用車子的人要盡快更新相關應用，以確保車上IVI系統的安全，避免被漏洞攻擊。
同時，對OEM與Tier 1供應商而言，若已導入入侵偵測與防護系統(IDS/IPS)，如VicOne 的xCarbon，便能夠主動地因應這些威脅。xCarbon的網路IDS(NIDS)可監控連接埠7000上的流量，並即時標記可疑活動。其虛擬修補(Virtual Patch)功能，安全團隊可以直接在IVI系統上測試和部署有針對性的緩解措施，甚至在Apple發布官方修復程序之前就能提供即時保護。
此外， xCarbon的主機IDS(NIDS)具備檔案完整性監控(FIM)，可偵測並阻止惡意程式碼植入或系統檔案異動。
汽車產業應主動因應
AirBorne漏洞讓人們認知到，即便是被廣泛信任的技術，如Apple CarPlay，也可能成為重大安全破口。在數位便利與行車安全交會的境地，任何鬆懈都會帶來實質風險。
主動進行風險管理是汽車產業對自己的基本要求，儘早處理漏洞並部署防禦措施，不僅有助於維護系統完整性，還有助於維護每個駕駛員和乘客的信任和安全。透過提高對AirBorne的掌握度並採取正確的保護措施，IVI系統可以繼續提供服務並創造價值，而不是資安破口。

(本文由VicOne車用資安研究團隊提供)