Zero-Click kwetsbaarheden in AirPlay Protocol bedreigen Apple en IoT-apparaten
Onderzoekers van Oligo Security hebben een reeks kritieke beveiligingslekken ontdekt in Apple's AirPlay protocol en de bijbehorende Software Development Kit (SDK). Deze kwetsbaarheden, gezamenlijk "AirBorne" genoemd, stellen kwaadwillenden in staat om op afstand code uit te voeren op zowel Apple-apparaten als IoT-apparaten van derden die de AirPlay SDK gebruiken, zonder dat enige interactie van de gebruiker vereist is in bepaalde scenario's.
De ontdekte lekken maken diverse aanvalsscenario's mogelijk, waaronder zero-click en one-click remote code execution (RCE), het omzeilen van toegangscontrolelijsten (ACL) en gebruikersinteractie, het lokaal uitlezen van willekeurige bestanden, het onthullen van gevoelige informatie, man-in-the-middle (MITM) aanvallen en denial-of-service (DoS).
Oligo Security heeft aangetoond dat twee van de kwetsbaarheden (CVE-2025-24252 en CVE-2025-24132) kunnen worden misbruikt voor zogenaamde "wormable" zero-click RCE-aanvallen. Dit betekent dat een succesvolle aanval op een AirPlay-apparaat kan leiden tot de verspreiding van malware naar andere apparaten binnen hetzelfde lokale netwerk. Dit opent de deur naar geavanceerde cyberaanvallen zoals spionage, ransomware en supply-chain aanvallen.
Aangezien AirPlay een fundamenteel onderdeel is van Apple's ecosysteem (Mac, iPhone, iPad, Apple TV, etc.) en breed wordt geïntegreerd in apparaten van derden, kunnen de gevolgen van deze kwetsbaarheden aanzienlijk zijn. Hoewel niet elk Apple-apparaat wereldwijd vatbaar is voor de zero-click RCE via AirBorne, schatte Apple in januari 2025 het aantal actieve Apple-apparaten op 2,35 miljard. Daarnaast maken tientallen miljoenen audioapparaten van derden gebruik van AirPlay, en is CarPlay wijdverspreid in meer dan 800 automodellen.
Updaten
Apple en Oligo Security hebben nauw samengewerkt om de kwetsbaarheden te identificeren en aan te pakken. Apple heeft inmiddels de nieuwste software-updates uitgebracht om de problemen te verhelpen. Oligo Security heeft tijdens het verantwoordelijke onthullingsproces alle relevante documentatie, processen en code met betrekking tot de kwetsbaarheden gedeeld met Apple.
In totaal heeft Oligo 23 kwetsbaarheden gemeld, wat heeft geleid tot de toekenning van 17 CVE-nummers. Een volledige lijst en beschrijving van deze CVE's, evenals specifieke aanvalsscenario's, zijn beschikbaar in het gedetailleerde rapport van Oligo Security.
Gebruikers van Apple-apparaten en apparaten van derden met AirPlay wordt dringend aangeraden om hun systemen zo spoedig mogelijk te updaten naar de nieuwste softwareversies om zich te beschermen tegen deze potentiële dreigingen.
Dutch IT events
Alle events
