Oligo Security, 29 Nisan 2025 tarihinde Apple CarPlay’de tampon taşması kaynaklı bir güvenlik açığı (CVE-2025-24132) tespit ettiklerini açıkladı. Araştırmaya göre bu açık, kullanıcı etkileşimi olmadan da istismar edilebiliyor ve CVSS skoru 6,5 olarak orta şiddette derecelendirildi.
Apple, sorunu 31 Mart 2025’te yayınladığı CarPlay AirPlay SDK güncellemesi ile gidermişti. 29 Nisan’da ise Oligo Security ile koordineli olarak güvenlik açığını kamuya duyurdu. Ancak dört buçuk ay sonra, Ağustos 2025 ortasına kadar yalnızca birkaç satıcı yamanın uygulandığı, otomobil üreticilerinin ise araçlarını hâlâ güncellemediği bildirildi.
Açığın çalışma şekli şöyle: Saldırganlar USB, internet veya “Just Works” Bluetooth eşleştirmesi üzerinden CarPlay’e bağlanarak iAP2 protokolünü kullanıyor ve kendilerini bir iPhone gibi gösterebiliyor. Bu sayede ağ kimlik bilgilerini ele geçirip root seviyesinde uzaktan kod çalıştırma yapabiliyorlar. Potansiyel sonuçlar arasında konum takibi, sürücü gözetimi ve dikkat dağınıklığı yer alıyor. Araştırmacılar, aracın kritik sistemlerine erişilip erişilemeyeceğini ise henüz doğrulayamadı.
Oligo Security uzmanları, gecikmenin nedenini otomotiv endüstrisindeki standardizasyon eksikliği, yavaş güncelleme döngüleri ve manuel kurulum gereksinimlerine bağlıyor. Uzmanlar, kablosuz (OTA) güncellemelerin yaygınlaştırılması ve tedarik zincirlerinde daha iyi koordinasyon sağlanmasını öneriyor.
Bu olay, otomotiv sektöründe güvenlik güncellemelerinin neden yavaş uygulandığını ve kritik yazılım yamalarının dağıtımındaki zorlukları bir kez daha gözler önüne seriyor.
