Um conjunto de vulnerabilidades de segurança no Protocolo AirPlay e no Kit de Desenvolvimento de Software (SDK) AirPlay da Apple expôs dispositivos de terceiros e da própria Apple, que não receberam patches, a diversos ataques, incluindo execução remota de código (remote code execution, RCE).
Segundo pesquisadores de segurança da empresa Oligo Security, que descobriram e reportaram as falhas, elas podem ser exploradas em ataques RCE de zero-cliques e um clique, ataques man-in-the-middle (MITM), e ataques de negação de serviço (DoS), assim como para contornar a lista de controle de acesso (access control list, ACL) e a interação do usuário, para obter acesso a informações sensíveis e ler arquivos locais arbitrários.
No total, a Oligo divulgou 23 vulnerabilidades de segurança para a Apple, que lançou atualizações de segurança para endereçar essas vulnerabilidades (coletivamente conhecidas como "AirBorne") em 31 de março para iPhones e iPads (iOS 18.4 e iPadOS 18.4), Macs (macOS Ventura 13.7.5, macOS Sonoma 14.7.5, e macOS Sequoia 15.4), e dispositivos Apple Vision Pro (visionOS 2.4).
A empresa também corrigiu o SDK de áudio AirPlay, o SDK de vídeo AirPlay, e o plug-in de comunicação do CarPlay.
Embora as vulnerabilidades AirBorne possam ser exploradas apenas por atacantes na mesma rede via redes sem fio ou conexões peer-to-peer, elas permitem a tomada de controle de dispositivos vulneráveis e usá-los como ponto de lançamento para comprometer outros dispositivos habilitados para AirPlay na mesma rede.
Os pesquisadores de segurança da Oligo disseram que conseguiram demonstrar que os atacantes podem usar duas das falhas de segurança (
CVE-2025-24252
e CVE-2025-24132) para criar explorações RCE wormable de zero-cliques.
Além disso, a falha de bypass de interação do usuário
CVE-2025-24206
permite que um ator de ameaça contorne requisitos de clique em "Aceitar" em solicitações AirPlay e pode ser combinada com outras falhas para lançar ataques de zero-clique.
"Isso significa que um atacante pode tomar controle de certos dispositivos habilitados para AirPlay e fazer coisas como implantar malware que se propaga para dispositivos em qualquer rede local à qual o dispositivo infectado se conecte. Isso poderia levar à entrega de outros ataques sofisticados relacionados a espionagem, ransomware, ataques à cadeia de suprimentos e mais", alertou a Oligo.
Como o AirPlay é um software fundamental para dispositivos Apple (Mac, iPhone, iPad, AppleTV, etc.) bem como para dispositivos de terceiros que utilizam o SDK AirPlay, essa classe de vulnerabilidades poderia ter impactos de longo alcance.
A empresa de cibersegurança aconselha as organizações a atualizarem imediatamente quaisquer dispositivos Apple corporativos e dispositivos habilitados para AirPlay para o lançamento de software mais recente e solicita que os funcionários também atualizem todos os seus dispositivos AirPlay pessoais.
Medidas adicionais que os usuários podem tomar para reduzir a superfície de ataque incluem atualizar todos os seus dispositivos Apple para a versão mais recente, desativar o receptor AirPlay se não for usado, restringir o acesso ao AirPlay para dispositivos confiáveis usando regras de firewall, e reduzir a superfície de ataque permitindo AirPlay apenas para o usuário atual.
A Apple afirma que existem mais de 2,35 bilhões de dispositivos Apple ativos ao redor do mundo (incluindo iPhones, iPads, Macs e outros), e a Oligo estima que também existam dezenas de milhões de dispositivos de áudio de terceiros como alto-falantes e TVs com suporte a AirPlay, sem incluir sistemas de infotenimento de carros com suporte a CarPlay.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...