Zero-click w AirPlay od Apple!

W sumie problem dotyczy 23 luk. Mogą one zostać wykorzystane w sieciach bezprzewodowych i połączeniach peer-to-peer, co prowadzi do całkowitego naruszenia nie tylko produktów Apple, ale także urządzeń innych firm, korzystających z zestawu SDK AirPlay.

Dwie z odkrytych luk, sklasyfikowane jako CVE-2025-24252 i CVE-2025-24132, umożliwiają hakerom tworzenie podatnych na ataki exploitów, mogących zdalnie wykonywać kod bez kliknięcia (tzw. zero-click). Zainfekowane urządzenia mogą zostać wykorzystane jako platforma startowa do dalszych naruszeń.

„Oznacza to, że atakujący może przejąć kontrolę nad niektórymi urządzeniami z włączoną funkcją AirPlay i wykonywać czynności takie jak wdrażanie złośliwego oprogramowania rozprzestrzeniającego się na urządzenia w dowolnej sieci lokalnej, z którą łączy się zainfekowana maszyna. Może to doprowadzić do przeprowadzenia innych wyrafinowanych ataków związanych ze szpiegostwem, oprogramowaniem wymuszającym okup, atakami na łańcuch dostaw i nie tylko” – podają eksperci Oligo Security.

Łącznie wydano 17 identyfikatorów CVE dla ujawnionych problemów. Apple współpracowało z Oligo, aby rozwiązać problemy w ostatnich wersjach systemów iOS, iPadOS i macOS.

Opisywane luki w zabezpieczeniach, nazwane przez Oligo „AirBorne”, mogą być wykorzystywane niezależnie od siebie lub łącznie, w celu zdalnego wykonania kodu (RCE), obejścia zabezpieczeń, odczytu plików, ujawnienia informacji, ataków typu man-in-the-middle (MiTM) i odmowy usługi (DoS).

CVE-2025-24252, błąd typu use-after-free, może prowadzić do RCE w systemie macOS. W połączeniu z CVE-2025-24206, obejściem interakcji użytkownika, prowadzi do RCE bez kliknięcia na „urządzeniach macOS, które są podłączone do tej samej sieci co atakujący z włączonym odbiornikiem AirPlay i ustawionym na konfigurację «Każdy w tej samej sieci» lub «Wszyscy»”.

„Podatność umożliwia ścieżkę ataku, który może rozprzestrzeniać się z jednej maszyny na drugą bez interakcji z człowiekiem” – informuje Oligo.

Zarażone urządzenie podłączone do sieci przedsiębiorstwa może umożliwić hakerowi atakowanie dodatkowych urządzeń i poruszanie się w bok. Oligo opublikowało demonstrację wideo wykorzystania luki CVE-2025-24252:

Jak można wykorzystać podatności?

CVE-2025-24271, luka w liście kontroli dostępu umożliwiająca nieuwierzytelnionym atakującym wysyłanie poleceń AirPlay bez parowania, może być powiązana z CVE-2025-24137 (załataną w styczniu 2025 r.) w celu uzyskania RCE (zdalne wykonanie kodu) za pomocą jednego kliknięcia.

CVE-2025-24132, problem przepełnienia bufora na stosie, może zostać wykorzystany do RCE bez kliknięcia na głośnikach i odbiornikach korzystających z zestawu AirPlay SDK, niezależnie od ich konfiguracji, i może zostać wykorzystany do tworzenia exploitów.

Wykorzystanie podatności w autach!

Jak podają specjaliści Oligo, błąd naraża również urządzenia CarPlay na RCE bez kliknięcia w określonych warunkach, co potencjalnie umożliwia atakującym rozpraszanie uwagi kierowców poprzez wyświetlanie obrazu i odtwarzanie dźwięku, podsłuchiwanie rozmów lub śledzenie lokalizacji pojazdu.