Investigadores vulneran aplicación CarPlay utilizada en dispositivos Apple para obtener control del sistema multimedia en vehículos

La empresa de ciberseguridad Oligo reveló a principios de 2025 que había descubierto vulnerabilidades potencialmente graves en el protocolo de comunicación inalámbrica AirPlay para servicios multimedia de Apple, señalando que posibles atacantes podían tomar el control de los dispositivos de forma remota. Una de las vulnerabilidades, identificada como CVE-2025-24132, permite a los atacantes crear exploits de ejecución remota de código.

AirPlay es una aplicación utilizada en dispositivos de Apple, pero que también se conceden licencias de uso a otros proveedores que lo implementan en sus propios dispositivos multimedia. Investigadores de Oligo explicaron que también se podían lanzar ataques contra aplicaciones CarPlay de ciertos proveedores a través de USB, wifi o bluetooth, y sin necesidad de interacción por parte del usuario legítimo.

El ataque se dirige al protocolo de comunicación utilizado por CarPlay para establecer la conexión inalámbrica. Este protocolo utiliza una autenticación unidireccional, en la que el teléfono autentica la al vehículo, pero el vehículo no autentica al teléfono. Esto significa que un atacante con una radio bluetooth puede suplantar la identidad de un iPhone o similar, obtener las credenciales wifi y conectarse al punto de acceso del coche. Desde ahí, se puede explotar la vulnerabilidad CVE-2025-24132 para obtener privilegios de administrador.

Apple solucionó la vulnerabilidad CVE-2025-24132 a finales de abril de 2025, pero solo unos pocos proveedores han integrado el parche en sus productos. Con esta demostración de ataque, Oligo explica que es necesario que los demás proveedores de Apple que utilicen el protocolo AirPlay deben tomar las medidas necesarias para corregir la vulnerabilidad.