Исследователи компании Oligo Security выявили серию критических уязвимостей в протоколе Apple AirPlay, получивших название AirBorne. Обнаруженные проблемы безопасности затрагивают более 2,35 миллиарда устройств Apple и множество сторонних гаджетов, поддерживающих технологию AirPlay.
Масштаб и последствия уязвимостей
В общей сложности специалисты идентифицировали 23 уязвимости, позволяющие злоумышленникам проводить различные типы атак. Наиболее опасными являются CVE-2025-24252 и CVE-2025-24132, которые могут использоваться для создания zero-click эксплоитов с возможностью распространения как компьютерный червь. Дополнительная уязвимость CVE-2025-24206 позволяет обходить механизм подтверждения подключения AirPlay.
Векторы атак и потенциальные риски
Злоумышленники могут эксплуатировать уязвимости через P2P-соединения или при нахождении в одной беспроводной сети с целевым устройством. Возможные сценарии атак включают удаленное выполнение кода, атаки типа Man-in-the-Middle, отказ в обслуживании и несанкционированный доступ к конфиденциальным данным.
Затронутые устройства и обновления безопасности
Apple выпустила патчи безопасности для следующих систем:
- iOS 18.4 и iPadOS 18.4
- macOS Ventura 13.7.5, Sonoma 14.7.5 и Sequoia 15.4
- visionOS 2.4
- AirPlay audio SDK, video SDK и CarPlay Communication Plug-in
Рекомендации по защите
Эксперты по кибербезопасности рекомендуют следующие меры защиты:
- Незамедлительное обновление всех устройств Apple до последних версий
- Отключение AirPlay при отсутствии необходимости его использования
- Настройка правил брандмауэра для ограничения доступа к AirPlay только доверенным устройствам
- Регулярный мониторинг сетевой активности на предмет подозрительных подключений
Учитывая широкое распространение технологии AirPlay в различных устройствах, включая умные колонки, телевизоры и автомобильные системы, процесс устранения уязвимостей может занять длительное время. Некоторые устройства могут остаться без обновлений безопасности, что создает долгосрочные риски для пользователей и корпоративных сетей.
