Hackers logran vulnerar CarPlay — y ninguna actualización te salvará

Investigadores de Oligo Security descubrieron en Apple CarPlay una vulnerabilidad que permite ejecutar código remoto con privilegios de root y obtener el control total del sistema multimedia del vehículo. El fallo está registrado como CVE-2025-24132 y afecta la implementación del protocolo AirPlay en CarPlay.

La vulnerabilidad afecta a AirPlay Audio SDK hasta la versión 2.7.1, AirPlay Video SDK hasta la versión 3.6.0.126 y CarPlay Communication Plug-in hasta R18.1 inclusive. El problema se demostró en la conferencia DefCon 33 durante la charla Pwn My Ride. El experimento mostró que un atacante puede combinar el uso de Bluetooth y Wi‑Fi para infiltrarse en el sistema del vehículo sin intervención del conductor.

En CarPlay inalámbrico se emplea un conjunto de protocolos: iAP2 por Bluetooth se encarga de establecer los parámetros de red, y AirPlay por Wi‑Fi se utiliza para la duplicación de la pantalla del iPhone. Los investigadores determinaron que para el ataque basta un módulo de radio Bluetooth para iniciar un emparejamiento simplificado «Just Works». Tras esto, el atacante obtiene el SSID y la contraseña de la red Wi‑Fi oculta de CarPlay y puede provocar un desbordamiento de búfer en la pila de AirPlay. Esto da la posibilidad de ejecutar código a nivel del núcleo.

Aunque Apple lanzó versiones corregidas del SDK el 29 de abril de 2025, los fabricantes de unidades multimedia para automóviles rara vez implementan las actualizaciones con rapidez. Para la mayoría de modelos la actualización requiere una visita al taller o la instalación mediante un dispositivo USB, lo que deja millones de vehículos vulnerables incluso meses después de la publicación de las correcciones.

Los autores del estudio no divulgaron todos los detalles de la explotación para dar tiempo a los proveedores a adaptar las actualizaciones. No obstante, confirmaron haber obtenido acceso root en diversas implementaciones de CarPlay. Se presta especial atención a la conexión inalámbrica: a diferencia de la variante por cable, permite atacar el vehículo de forma remota con solo aprovechar la breve «ventana» de detección de dispositivos durante el emparejamiento.

El problema se agrava por la cadena de suministro fragmentada: fabricantes de automóviles, proveedores de unidades principales, desarrolladores de software intermedio e integradores de soluciones posventa deben actualizar el SDK de forma independiente, probar la compatibilidad y distribuir las actualizaciones de firmware. Los modelos modernos con soporte para actualizaciones por aire (OTA) pueden recibir las correcciones más rápidamente, pero para la mayoría de propietarios el riesgo persistirá durante mucho tiempo.

Los expertos recomiendan a las empresas que usan CarPlay en flotas verificar las versiones de firmware y establecer políticas estrictas de actualización. Los fabricantes de automóviles y los proveedores de equipo deben acelerar la integración de los SDK corregidos y optimizar el proceso de validación.