Oligo Security 最近的研究揭露了存在於 Apple AirPlay 技術中一組高風險的漏洞,被統稱為「AirBorne」。雖然 AirPlay 通常與 iPhone、iPad 與 Mac等蘋果裝置之間的串流功能相關,但這些存在Apple CarPlay的漏洞實際的影響範圍更廣,涵蓋了現代車載資訊娛樂系統(IVI)。
對汽車產業而言,這些發現具有重大意義。CarPlay 已整合進超過 800 款車型中,這些漏洞不僅威脅駕駛安全,也危及車輛的資安防護。對 OEM、Tier 1 供應商及整個汽車生態系的資安團隊而言,了解 AirBorne 的範圍與風險,已成當務之急。
什麼是 AirBorne 漏洞?
AirBorne 漏洞源自於 Apple 的 AirPlay 協定及其軟體開發工具包 (SDK) 的嚴重缺陷,該SDK是 IVI 系統中 CarPlay 無線連接的基礎。這些漏洞分別是 CVE-2025-24252 和 CVE-2025-24132,暴露了 AirPlay 資料處理的弱點,從而導致遠端程式碼執行 (RCE)。
主要漏洞包括:
- CVE-2025-24252:這是「Use-After-Free」(UAF)漏洞,當 AirPlay 的記憶體管理失敗,試圖存取已釋放的記憶體時就會出現。攻擊者可利用這一點來破壞記憶體並注入惡意程式碼。若與其他漏洞(例如 CVE-2025-24206)結合,更可助於實現零點擊遠端程式執行(zero-click RCE),完全不需使用者互動。這種漏洞甚至可能變得「蠕蟲化」(wormable),可在同一 Wi-Fi 網路中的裝置之間傳播。
- CVE-2025-24132:此漏洞為AirPlay SDK 中的堆疊溢位(stack-based buffer overflow),由於輸入驗證的不充分,導致允許攻擊者傳送過大的資料,溢出緩衝區還覆蓋相鄰記憶體。根據連線情況,這個漏洞可透過 Wi-Fi 實現零點擊 RCE,或透過藍牙達成單點擊 RCE。
這些漏洞利用了 AirPlay 透過連接埠7000 進行的通信,該連接埠使用HTTP 和RTSP(即時串流協定)傳輸資料。資料通常以 plist 格式(Apple 的屬性清單結構)交換,在此過程中若資料被不當解析(如 CVE-2025-24129 的類型混淆 bug),則可能產生額外的攻擊媒介。例如未經驗證的資料被當作 dictionary 處理,便可能引發系統崩潰或執行程式碼。
AirBorne 攻擊在 CarPlay 車輛中可能如何發生?
以下情境演示了攻擊者如何利用 AirBorne 漏洞入侵支援 CarPlay 的 IVI 系統:
- 初始存取:攻擊者連上車輛的 Wi-Fi 熱點(多為啟用無線 CarPlay 而開啟),若熱點使用預設或弱密碼,便易於突破。
- 漏洞利用:透過連接埠 7000,攻擊者送出帶有惡意的plist負載的 HTTP 請求,這會觸發 CVE-2025-24132 緩衝區溢位漏洞,進而注入可執行程式碼覆蓋掉記憶體。
- 程式碼執行:掌握系統控制權後,攻擊者可在駕駛者毫無察覺的情況下操控車內IVI的顯示器、播放聲音或存取麥克風。
- 持久滲透與擴散:攻擊者可安裝持久性惡意軟體,即使 Wi-Fi 連線中斷仍可繼續運作。若具蠕蟲能力,更可能感染同網路中的其他車輛或裝置。
這個案例強調了看似很微小的資料處理小疏失,都可能會導致整個系統淪陷,為連網車輛中帶來重大威脅。
AirBorne 實際造成的影響為何?
如果成功利用 AirBorne 漏洞來攻擊支援 CarPlay 的車輛,其後果將遠遠超出技術上的不便。這些風險直接涉及使用者安全、隱私和信任:
- 隱私侵犯:攻擊者可能利用麥克風偷聽談話,或讀取 GPS 資料追蹤車輛行蹤。
- 駕駛分心:惡意操控 IVI 系統,可能導致突然的音訊播放、異常畫面顯示、或者是其他預期之外的行為,這些干擾在車輛行駛過程中尤其危險。
- 更廣泛的系統入侵:若受損的IVI系統與車輛其他系統的整合度高,攻擊者甚至可能此為墊腳石,進行更進一步滲透,造成更嚴重的攻擊,具體將取決於系統設計以及整合狀況。
對於汽車產業來說,這已經超出典型軟體漏洞的範疇,而是涉及駕駛與乘客安全和消費者信任的問題。駕駛和乘客希望車輛的連網功能能夠增強他們的體驗,而不是透過車輛的 IVI 系統讓他們面臨數位威脅或者是監視。
要了解 AirBorne 漏洞的真正風險,不妨思考看看它們在日常生活下會如何發揮作用、影響到你的安全:
- 公共充電站或停車場:在公共場所為電動車充電時,您走進附近的便利商店或咖啡館吃點東西,卻沒有注意到您的 CarPlay 熱點(雖然是隱藏的或不可見的)仍然處於活動狀態並且可以被發現。在附近的攻擊者連接到它並悄悄地注入惡意程式碼,當您拿著咖啡回來時,您的電動車可能已經被入侵,正在默默記錄您的駕駛模式或追蹤您的下一個目的地。幾天后,您的螢幕可能會突然閃爍,或者您的揚聲器可能會毫無預警地發出刺耳的聲音,讓您在路上開車的關鍵時刻被分散注意力。
- 公司車庫與維修服務中心:攻擊者針對停放在公司車庫中的公司車隊下手,隨著駕駛正在休息或是等待乘客或者貨物,車輛處於啟動、空轉狀態時,攻擊者趁機部署自動攻擊腳本,並悄悄連接到暴露的無線CarPlay網路。從那裡,攻擊者可以植入惡意軟體來記錄 GPS 位置或記錄車內對話,使其成為企業間諜活動的理想設定。汽車維修服務中心也有類似的風險。當汽車在進行維護或維修時,它通常會連接到診斷工具或是有一段長時間無人看管。這時候如果 CarPlay 熱點保持活動狀態,攻擊者可以利用此視窗以最小的力氣即可注入惡意程式碼。
- 行駛途中:看到紅燈停車等候的時候,盤邊車輛中的攻擊者可利用近距離攻擊藍牙配對漏洞。幾秒鐘之內,他們就能入侵並存取您的 IVI 系統,從而啟動麥克風並開始竊聽,而這一切都是在駕駛者不知情的情況下進行的。入侵過程悄無聲息,不會留下任何明顯的入侵跡象,而駕駛會在不知不覺中繼續駕駛。
這些都不是科幻場景,而是當前車聯網環境中真實且可能發生的風險。
用戶與車廠該如何因應 AirBorne?
對一般車主而言,儘速更新車輛韌體是最直接的防護措施。配備Apple CarPlay的車輛多半很快會收到來自車廠的韌體更新通知,使用車子的人要盡快更新相關應用,以確保車上IVI系統的安全,避免被漏洞攻擊。
同時,而對 OEM 與 Tier 1 供應商而言,若已導入入侵偵測與防護系統(IDS/IPS),如 VicOne 的 xCarbon,便能夠更好地、更主動地因應這些威脅。xCarbon 的網路 IDS(NIDS)可監控連接埠7000(AirBorne 攻擊所針對的協定通道)上的流量,並即時標記可疑活動。其虛擬修補(virtual patch)功能,安全團隊可以直接在 IVI 系統上測試和部署有針對性的緩解措施,甚至在 Apple 發布官方修復程序之前就能提供即時保護。此外,xCarbon 的主機 IDS(NIDS) 具備檔案完整性監控(FIM),可偵測並阻止惡意程式碼植入或系統檔案異動。
值得注意的是,AirBorne 可能只是入侵 CarPlay 的第一步。最終目標可能是升級至更廣泛的 IVI 功能權限,這與過去軟體定義車輛(SDV)中容器化應用遭攻擊的情形相似。透過車用資安防護軟體的無縫防護架構,也能保護虛擬化與容器化工作負載,提升新一代 IVI 與 SDV 的整體資安韌性。
為什麼 AirBorne 值得汽車產業主動因應?
AirBorne漏洞讓我們認知到,即便是被廣泛信任的技術,如Apple CarPlay,也可能成為重大安全破口。在數位便利與行車安全交會的境地,任何鬆懈都會帶來實質風險。
主動進行風險管理是汽車產業對自己的基本要求,儘早處理漏洞並部署強大的防禦措施,不僅有助於維護系統完整性,還有助於維護每個駕駛員和乘客的信任和安全。透過提高對 AirBorne這類新興威脅的掌握度並採取正確的保護措施,IVI系統可以繼續提供服務並創造價值,而不是資安破口。
