資安研究機構Oligo Security於4月29日揭露Apple CarPlay系統中的零點擊漏洞CVE-2025-24132，該漏洞為AirPlay SDK的堆疊緩衝區溢位問題，允許駭客遠端執行程式碼（RCE）並取得根權限，嚴重威脅車輛娛樂系統安全。雖然Apple於3月31日已發布修補程式，並協調公開揭露，但四個半月後，僅少數供應商實施更新，無汽車製造商跟進，導致數百萬輛車輛持續暴露風險。專家警告，台灣車主需檢查車載系統更新，防範駭客透過藍牙或Wi-Fi入侵，潛在竊聽或干擾駕駛。

 

 

Oligo Security研究員Uri Katz表示，此漏洞CVSS嚴重度評分為6.5（中度），但其零點擊特性使其極具危險性。攻擊者可透過USB連接、網際網路或藍牙存取CarPlay系統，尤其在「Just Works」藍牙配對模式下，無需使用者互動即可入侵。許多車輛使用預設或可預測的Wi-Fi密碼，進一步放大風險。Katz指出：「我們測試發現，相當數量的系統依賴Just Works藍牙配對，舊款及第三方頭部單元常使用預設密碼。新車輛雖在改善，但遺留系統長期上路，配對保護薄弱，此問題也見於其他IoT裝置。」

 

 

攻擊路徑從藍牙連接開始，經Apple的iAP2協定（用於行動裝置與車載娛樂系統（IVI）建立會話），竊取網路憑證。iAP2僅單向驗證—外部裝置確認IVI合法，但IVI不驗證外部裝置，讓駭客偽裝成iPhone，連接車輛網路並發送命令。取得Wi-Fi憑證後，攻擊者觸發CVE-2025-24132，透過AirPlay SDK的緩衝區溢位執行惡意程式碼，獲取根權限。Oligo Security尚未公開完整技術細節，以給供應商更多修補時間，但Apple 4月安全更新顯示，問題與應用程式終止相關。

 

 

根權限RCE讓駭客可任意操控IVI系統，包括顯示圖像干擾駕駛、播放音頻、竊聽對話、追蹤車輛位置，或安裝持久惡意軟體。Oligo研究雖未確認是否延伸至安全關鍵系統（如煞車或方向盤），但強調其作為攻擊跳板的潛力。該漏洞影響AirPlay音頻SDK 2.7.1前版本、視頻SDK 3.6.0.126前版本及CarPlay Communication Plug-in R18.1前版本，涵蓋數億Apple裝置及第三方AirPlay/CarPlay產品，如揚聲器、電視及800多款車型。

 

 

更令人擔憂的是修補延遲。Apple已於3月31日修補AirPlay SDK，並於4月29日與Oligo協調揭露，但Oligo報告顯示，截至9月中旬，僅少數供應商實施更新，無汽車製造商跟進。Katz解釋：「核心挑戰在於缺乏標準化。手機可隔夜更新，但車載系統常需手動安裝或經銷商訪視。即使Apple提供修補SDK，汽車廠商須調整、測試並驗證其平台，需與供應商及中介軟體提供者協調。」供應鏈協調緩慢、更新週期長及手動需求，導致延誤。Oligo建議廣泛採用空中更新（OTA）管線及供應鏈更好協調，Katz表示：「技術已存在，但組織對齊尚未跟上。」

 

 

此漏洞屬Oligo「AirBorne」漏洞系列一部分，包括CVE-2025-24252（use-after-free漏洞，可鏈接成零點擊RCE）及CVE-2025-24206（互動繞過），影響macOS、iOS及第三方AirPlay裝置。Oligo於DefCon 33會議展示「Pwn My Ride」多階段攻擊，證明無線CarPlay易受藍牙、Wi-Fi或USB攻擊。雖然Apple修補macOS Sequoia 15.3（1月27日）及後續版本，但第三方裝置依賴供應商更新，進展緩慢。

 

 

台灣資安專家分析，此漏洞對本土車主及產業衝擊重大。CarPlay普及於多款進口車，如Mercedes-Benz、BMW及Toyota，舊款車輛尤其易受攻擊。行政院國家資通安全會報表示，將監測AirPlay/CarPlay相關威脅，呼籲車主檢查IVI系統更新，並建議經銷商推動OTA或經銷商修補。趨勢科技台灣區總經理洪偉淦受訪時指出：「車輛資安落後手機，供應鏈延遲放大風險。台灣車主應避免使用預設Wi-Fi/藍牙設定，啟用PIN配對，並定期檢查Apple iOS更新（影響iPhone端）。汽車廠商需加速OTA採用，整合資安驗證。」他強調，駭客可利用漏洞轉移至車輛網路，潛在影響ADAS系統，台灣作為汽車進口大國，需強化供應鏈資安。

 

 

此事件與近期資安趨勢呼應，如中國Salt Typhoon利用45域名進行間諜活動、詐騙者濫用Grok散布惡意連結，顯示IoT及車聯網漏洞頻發。Oligo呼籲組織立即更新企業Apple裝置，並通報員工個人裝置修補。台灣政府可借鏡，推動汽車資安法規，強制OTA更新及供應鏈審核。車主防範之道包括：更新iOS至最新版本、避免公共Wi-Fi連接CarPlay、使用強密碼及PIN、檢查車載軟體版本。隨著電動車及智慧駕駛普及，車輛資安成焦點，修補延遲凸顯產業挑戰，需全球合作加速防護。