Investigadores de la firma Oligo Security han revelado que Apple CarPlay podría ser vulnerable a ataques remotos que permiten a hackers espiar o distraer a los conductores, incluso sin que estos interactúen con el sistema.

El ataque se basa en vulnerabilidades detectadas en el protocolo inalámbrico AirPlay y su SDK, específicamente la falla CVE-2025-24132, que permite ejecución remota de código sin necesidad de clics del usuario. Esto significa que un hacker podría usar un dispositivo comprometido para infiltrarse en otros sistemas, incluyendo CarPlay.

El ataque puede realizarse mediante conexión física (USB) o de manera inalámbrica, aprovechando redes Wi-Fi con contraseñas por defecto o conexiones Bluetooth. El protocolo iAP2 que CarPlay utiliza para conectarse inalámbricamente presenta autenticación unidireccional: el auto verifica que habla con un dispositivo legítimo, pero el dispositivo acepta cualquier cliente iAP2. Esto permite al atacante hacerse pasar por un iPhone, obtener credenciales Wi-Fi, iniciar aplicaciones y ejecutar comandos remotos.

Una vez dentro, el atacante podría controlar la pantalla del vehículo, mostrar imágenes o reproducir audio para distraer al conductor, escuchar conversaciones dentro del automóvil y rastrear su ubicación, generando un riesgo directo para la seguridad de quien conduce.

Apple solucionó el problema, pero el usuario depende de los fabricantes

Apple parcheó la vulnerabilidad en abril, pero solo algunos fabricantes de dispositivos han integrado la corrección en sus productos. Esto genera un problema crítico: incluso con el SDK actualizado, cada fabricante de automóviles debe adaptar, probar y validar la actualización en sus sistemas, lo que puede llevar meses. Como resultado, millones de vehículos siguen expuestos, mucho después de que Apple haya lanzado la solución oficial.

Este caso resalta no solo los riesgos de seguridad para los conductores, sino también los desafíos de coordinación entre fabricantes y proveedores de software, y cómo un parche oficial no siempre significa protección inmediata para los usuarios finales.

Fuentes: Security Week