Một lỗ hổng bảo mật nghiêm trọng mới được tiết lộ trong hệ sinh thái Apple CarPlay cho phép thực hiện remote code execution (thực thi mã từ xa) với quyền root, gây ra rủi ro nghiêm trọng cho các phương tiện kết nối. Lỗ hổng này ảnh hưởng trực tiếp đến an toàn và bảo mật của người dùng ô tô.

Phân tích Kỹ thuật Lỗ hổng CVE-2025-24132

Chi tiết Lỗ hổng và Cơ chế Khai thác

Được nhóm nghiên cứu Oligo Security phát hiện và định danh là CVE-2025-24132, lỗ hổng này nằm trong triển khai giao thức AirPlay được sử dụng bởi các hệ thống CarPlay. Các nhà nghiên cứu đã trình bày phát hiện của họ tại hội nghị DefCon 33 trong buổi nói chuyện “Pwn My Ride”. Họ đã minh họa cách kẻ tấn công có thể kết hợp các giao thức Bluetooth và Wi-Fi để xâm nhập các đơn vị đa phương tiện trong xe mà không cần bất kỳ tương tác nào từ người dùng.

CarPlay không dây sử dụng hai giao thức xếp lớp: iAP2 qua Bluetooth để thương lượng thông tin xác thực mạng, và AirPlay qua Wi-Fi để phản chiếu màn hình iPhone. Cơ chế tấn công tận dụng các giai đoạn này để đạt được quyền truy cập trái phép.

Quy trình Khai thác Remote Code Execution

Kẻ tấn công chỉ cần một bộ thu phát Bluetooth tương thích để thực hiện ghép nối “Just Works” – thường được bật mặc định trên nhiều bộ điều khiển trung tâm (head unit). Mục tiêu là mạo danh một thiết bị iPhone hợp lệ.

Sau khi ghép nối thành công, kẻ tấn công yêu cầu SSID và mật khẩu của thiết bị CarPlay, kết nối vào mạng Wi-Fi riêng của nó. Tiếp theo, một lỗi tràn bộ đệm ngăn xếp (stack buffer overflow) trong AirPlay của các phiên bản SDK dễ bị tổn thương sẽ được kích hoạt. Chuỗi tấn công này cuối cùng dẫn đến remote code execution ở cấp độ đặc quyền cao nhất của hệ thống.

Các nhà nghiên cứu đã giữ lại các chi tiết khai thác đầy đủ để cung cấp thêm thời gian cho các nhà cung cấp khắc phục. Tuy nhiên, họ đã chứng minh việc khai thác thành công trên nhiều triển khai CarPlay khác nhau, đạt được quyền kiểm soát cấp độ root đối với thiết bị head unit.

Để tìm hiểu thêm về lỗ hổng, bạn có thể tham khảo báo cáo chi tiết từ Oligo Security: Pwn My Ride: Exploring the CarPlay Attack Surface. Thông tin về lỗ hổng CVECVE-2025-24132 cũng có thể được tìm kiếm trên NIST National Vulnerability Database.

Tác động và Rủi ro từ Remote Code Execution

Các Phiên bản Bị Ảnh hưởng và Tình trạng Vá lỗi

Apple đã phát hành các bản SDK được vá lỗi vào ngày 29 tháng 4 năm 2025. Tuy nhiên, hầu hết các nhà cung cấp thiết bị head unit ô tô vẫn chưa tích hợp các bản sửa lỗi này. Đây là một lỗ hổng CVE nghiêm trọng cần được chú ý, làm gia tăng đáng kể nguy cơ remote code execution đối với người dùng.

Chu kỳ cập nhật bản vá firmware của xe ô tô nổi tiếng là chậm, thường đòi hỏi sự can thiệp của đại lý hoặc cài đặt qua USB. Do đó, hàng triệu phương tiện vẫn tiếp tục bị phơi nhiễm rất lâu sau khi bản vá đã có sẵn. Tình trạng này tạo ra một “khoảng trống” bảo mật dài hạn.

Mặc dù CarPlay có dây yêu cầu truy cập vật lý, CarPlay không dây lại dễ bị tổn thương ngay cả khi các thiết bị không thể phát hiện được theo mặc định. Kẻ tấn công chỉ cần ghép nối trong một cửa sổ khám phá ngắn ngủi để thiết lập cuộc tấn công remote code execution.

Thách thức Chuỗi Cung ứng và Thời gian Phơi nhiễm

Thời gian phơi nhiễm kéo dài trở nên tồi tệ hơn do chuỗi cung ứng phần mềm bị phân mảnh. Các nhà sản xuất xe, nhà cung cấp head unit, nhà cung cấp phần mềm trung gian và nhà tích hợp thị trường hậu mãi đều phải tự mình áp dụng các SDK đã được vá lỗi, kiểm tra khả năng tương thích và triển khai các bản cập nhật. Đây là một quy trình phức tạp và tốn thời gian.

Các mẫu xe cao cấp có hỗ trợ cập nhật qua mạng (Over-The-Air – OTA) có thể nhận được các bản vá lỗi nhanh chóng. Tuy nhiên, nhiều mẫu xe khác sẽ bị chậm trễ, khiến người lái xe đối mặt với rủi ro bị chiếm quyền điều khiển từ xa (remote code execution) nhiều tháng hoặc thậm chí nhiều năm sau khi bản vá được phát hành. Điều này tạo ra một mối lo ngại lớn về an toàn thông tin trên diện rộng.

Khuyến nghị và Biện pháp Khắc phục

Hướng dẫn cho Người dùng và Tổ chức

Các tổ chức và cá nhân đang sử dụng hệ thống CarPlay nên tiến hành kiểm tra ngay lập tức các phiên bản firmware của thiết bị head unit của mình. Việc triển khai và thực thi một chính sách cập nhật bản vá nghiêm ngặt là điều cần thiết để giảm thiểu rủi ro bị tấn công remote code execution.

Kiểm tra các bản cập nhật firmware định kỳ và cài đặt chúng càng sớm càng tốt. Nếu xe không hỗ trợ cập nhật OTA, hãy liên hệ với đại lý ủy quyền để được hỗ trợ.

Lời kêu gọi dành cho các Nhà sản xuất và Nhà cung cấp

Các nhà sản xuất ô tô và nhà cung cấp được khuyến khích ưu tiên tích hợp các SDK đã được vá lỗi. Song song đó, họ cần hợp lý hóa các quy trình xác thực của mình. Việc này nhằm đẩy nhanh tốc độ triển khai cập nhật bản vá cho người dùng cuối, giảm thiểu thời gian phơi nhiễm đối với lỗ hổng remote code execution này.