Una vulnerabilidad crítica en el protocolo AirPlay de Apple, conocido como Airborne, expone más de 23.5 mil millones de dispositivos Apple activos y decenas de millones de dispositivos de terceros a ataques de ejecución de código remoto (RCE), sin la necesidad de interactuar con los usuarios.
Los investigadores de Oligo Security descubrieron que la falla permitía a los atacantes en la misma red Wi-Fi para secuestrar dispositivos que van desde Mac y iPhones hasta vehículos habilitados para Carplay y altavoces inteligentes.
Vulnerabilidad aérea
La vulnerabilidad en el aire se atribuye a un defecto en el protocolo AirPlay de Apple y su Kit de desarrollo de software (SDK). Oligo ha identificado 23 vulnerabilidades, 17 de las cuales han recibido designaciones de CVE, que incluyen:
CVE-2025-24252: fallas no válidas en la implementación de AirPlay de MacOS que permite a los dispositivos de clic cero en los dispositivos establecidos en “cualquier persona en la misma red” cuando se conectan mediante el bypass de autenticación (CVE-2025-24206).
CVE-2025-24132: El desbordamiento del búfer a base de pila en el AirPlay SDK afecta a los altavoces, televisores y sistemas de automóvil, lo que permite las exploits decorativas de clic cero.
CVE-2025-24271: Lista de control de acceso (ACL) El bypass permite a los atacantes enviar comandos de AirPlay no autorizados. Esto se puede armarse con otros fallas en un solo clic en RCE.
Estas vulnerabilidades aprovechan el manejo de la lista de propiedades de AirPlay (PLIST), formato de datos estructurados, utilizados para serializar comandos. La verificación inapropiada de los parámetros de PERT, como suponer que todas las entradas son diccionario, condujeron a tipo confusión, corrupción de memoria y ejecución de código arbitrario.
Por ejemplo, el envío de una lista de presenta malformada a través del comando /setProperty se bloqueará el proceso ControlCenter, pero inundar una solicitud de configuración RTSP sobrecargará el servicio WindowsServer y obligará al usuario a cerrar sesión.
Vectores de ataque e impactos del mundo real
Los atacantes pueden aprovechar el aire en múltiples escenarios.
Los dispositivos Mac e iOS que habilitan el receptor AirPlay (predeterminado: “usuario actual”) son vulnerables a los ataques de clic cero cuando se combinan con CVE-2025-24206. Oligo ha demostrado que explota esto para sobrescribir la memoria en las aplicaciones de música de Apple, y podría difundir malware en toda la red.
Los altavoces de terceros y las unidades de juego de automóviles que utilizan SDK vulnerables están igualmente en riesgo. Los investigadores secuestraron los altavoces Bose para mostrar logotipos y audio personalizados.
El desbordamiento del búfer (CVE-2025-24132) permite ataques de autopropagación. Un dispositivo comprometido en una red corporativa puede infectar otros dispositivos sin interacción del usuario, lo que permite el movimiento lateral de espía o ransomware. Los puntos de acceso de Wi-Fi públicos como aeropuertos son los principales objetivos de explotación masiva.
Más de 800 modelos de automóviles con juego de automóviles inalámbricos son vulnerables a los ataques a base de cuerpo a cuerpo. Si el punto de acceso Wi-Fi del vehículo usa contraseñas débiles, un atacante en el rango puede ejecutar RCE para manipular el audio destructivo, la ubicación de seguimiento o la espía del sistema de información y entretenimiento a través de su micrófono incorporado. El emparejamiento basado en Bluetooth (requiere entrada de pin) y las conexiones USB también representan riesgos.
Respuesta de Apple y estado de parche
Para abordar estos problemas, Apple ha lanzado parches para MacOS Sequoia 15.4, iOS 18.4 y AirPlay SDK 2.7.1/3.6.0.126. Sin embargo, Oligo advierte que debido a los mecanismos de actualización fragmentados, muchos dispositivos de terceros pueden permanecer por debajo de la parte indefinida.
El cofundador de Oligo, Gal Elbaz, enfatizó: “La integración de AirPlay en un ecosistema diverso significa que algunos dispositivos se volverán vulnerables durante años”.
Para minimizar la exposición:
Actualice sus dispositivos Apple: asegúrese de que todos sus productos de Apple estén ejecutando la última versión del sistema operativo. Deshabilite el receptor AirPlay: si no se usa, apague AirPlay en la configuración. Endurecimiento de la red: limita el puerto 7000 (airplay) a dispositivos de confianza a través de un firewall. Vigilancia de terceros: comuníquese con el fabricante sobre las actualizaciones de SDK y monitoree los parches de firmware.
Los defectos del aire resaltan riesgos sistémicos en protocolos ampliamente adoptados. A medida que el ecosistema de Apple se expande, enero de 2025 y las integraciones de terceros crecen, con una divulgación coordinada y parches rápidos que son importantes, son importantes 2.35 mil millones de dispositivos activos.
Sin embargo, la vida útil de los dispositivos acumulados en entornos de consumo e industriales sigue siendo un desafío sostenido, destacando la necesidad de un marco de seguridad proactivo en el desarrollo de IoT.
Aunque Apple no ha informado de explotación agresiva, ha confirmado la gravedad de la vulnerabilidad y alentado actualizaciones inmediatas. Para las empresas, Oligo recomienda segmentar su red para aislar dispositivos habilitados para AirPlay y auditar puntos finales conectados para obtener signos de compromiso.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
