Redazione RHC : 11 septiembre 2025 14:18
En la conferencia de seguridad DefCon, investigadores presentaron una importante cadena de exploits que permite a los atacantes obtener permisos de administrador para los sistemas de entretenimiento de vehículos a través de Apple CarPlay.
El ataque, conocido como «Pwn My Ride», se dirige a una serie de vulnerabilidades en los protocolos que rigen el funcionamiento de CarPlay inalámbrico. Estas vulnerabilidades pueden explotarse para ejecutar código de forma remota (RCE) en la unidad multimedia del vehículo, lo que pone en peligro la seguridad del sistema.
El ataque, en su naturaleza, consiste en una secuencia de debilidades inherentes a los protocolos que rigen CarPlay inalámbrico. Esto permite la ejecución remota de código en la unidad multimedia del vehículo, lo que potencialmente permite a los atacantes tomar el control del sistema.
La causa principal de este exploit es CVE-2025-24132, un grave desbordamiento del búfer de pila dentro del SDK del protocolo AirPlay. Los investigadores de Oligo Security han detallado cómo se activa esta falla cuando un intruso se infiltra en la red Wi-Fi del vehículo.
La vulnerabilidad afecta a una amplia gama de dispositivos que utilizan versiones del SDK de AirPlay Audio anteriores a la 2.7.1, versiones del SDK de AirPlay Video anteriores a la 3.6.0.126, así como versiones específicas del complemento de comunicaciones CarPlay.
Al explotar este desbordamiento del búfer de pila, un atacante puede ejecutar código arbitrario con privilegios elevados, tomando así el control del sistema de infoentretenimiento. El ataque comienza atacando la fase inicial de conexión inalámbrica de CarPlay, que se basa en dos protocolos clave: iAP2 (iPod Accessories Protocol) por Bluetooth y AirPlay por Wi-Fi.
RedazioneHoy en día, muchos se preguntan qué impacto tendrá la expansión de la Inteligencia Artificial en nuestra sociedad. Entre las mayores preocupaciones se encuentra la pérdida de millones de empleos ...
Análisis de RHC de la red “BHS Links” y la infraestructura global automatizada de SEO Black Hat. Un análisis interno de Red Hot Cyber sobre su dominio ha descubierto una red global de SEO Black ...
Recientemente publicamos un artículo en profundidad sobre el «robo del siglo» en el Louvre , en el que destacamos cómo la seguridad física ( acceso, control ambiental, vigilancia ) está ahora es...
Los usuarios que buscan optimizar al máximo el espacio en Windows han batido un nuevo récord. El entusiasta @XenoPanther ha logrado reducir el tamaño de una copia en ejecución de Windows 7 a tan s...
El informe financiero de Microsoft indica que OpenAI podría haber perdido 12.000 millones de dólares en su último trimestre fiscal. Un gasto en el informe de ganancias de Microsoft (517,81, -7,95, ...
