“AirBorne” czyli Zero-Click RCE w applowej usłudze AirPlay

Kiedy podatność otrzymuje ciekawą nazwę, a w dodatku jest określana mianem “zero-click” (co oznacza, że nie wymaga dodatkowego działania ofiary), to można domniemywać, że będzie ciekawie. I chociaż czasami ta heurystyka się nie sprawdza, to akurat w przypadku AirBorne można z całą pewnością stwierdzić, że skutki podatności w SDK AirPlay, mogą być całkiem poważne. Co gorsza dotknięte urządzenia mogą atakować kolejne, np. w innej sieci. Wśród odkrytych luk są takie, które pozwalają na zdalne wykonanie kodu (ang. RCE – Remote Code Execution), obejście autoryzacji, odczytywanie plików (ang. Local Arbitrary File read), ujawnienie informacji, MiTM (czyli Man-in-the-middle), atak odmowy usługi (ang. DoS – Denial of Service).

TLDR:

• Zespół Oligo Security Research odkrył szereg podatności dotykających urządzenia Apple oraz innych producentów.
• Podatności występują w usłudze AirPlay oraz AirPlay SDK, które służy do budowania rozwiązań zgodnych z tym standardem, dlatego podatne są nie tylko urządzenia Apple.
• Badacze udokumentowali wystąpienie podatności w urządzeniach takich jak laptopy z systemem MacOS, ale też głośniki czy systemy Car-Play.

Czym jest AirPlay? To własnościowy standard firmy Apple składający się z wielu protokołów takich jak RTSP czy mDNS (aka Bonjour). Do komunikacji z urządzeniem wykorzystywane jest customowe API wystawione na porcie TCP/7000. Celem tej technologii jest umożliwienie strumieniowania obrazu i dźwięku między kompatybilnymi urządzeniami. Właściciele np. telefonów pod kontrolą systemu iOS mogą dzięki temu prezentować zdjęcia czy filmy na dużym ekranie np. pod kontrolą Apple TV. Osoby nie wykorzystujące ekosystemu Apple, mogą skorzystać z alternatyw w postaci DLNA czy Google Cast. 

Zespół Oligo znalazł serie podatności nie tylko w samym AirPlay, ale także SDK, co powoduje, że skutecznie zaatakować można nie tylko produkty Apple, ale także innych producentów, którzy wykorzystywali ten zestaw bibliotek i narzędzi. Niektóre podatności można ze sobą łączyć w celu zmaksymalizowania wpływu na atakowany system. 

Oczywiście podatności zostały załatane, a autorzy badania ujawniają informacje w sposób skoordynowany w ramach tzw. responsible disclosure (przez niektórych złośliwie nazywanym vendor driven disclosure). 

CVE-2025-24252 oraz CVE-2025-24206

Podatność CVE-2025-24252 to luka typu UAF (use-after-free), która wynika z błędnego zarządzania pamięcią dynamiczną podczas wykonywania się programu. Dzięki niej atakujący może doprowadzić do wykonania dowolnego kodu w kontekście atakowanego software. 

Łącząc CVE-2025-24252 z, odkrytą również przez zespół Oligo, podatnością pozwalającą na obejście interakcji z użytkownikiem (oznaczoną jako CVE-2025-24206), możliwe jest w pełni zdalne wykonanie kodu na komputerach z systemem MacOS. Warunkami, które pozwalają na eksploitację tego łańcucha jest przede wszystkim obecność atakującego w tej samej sieci co ofiara. Ale oprócz tego, ofiara musi mieć skonfigurowane AirPlay w taki sposób, aby skorzystać z odbiornika mógł każdy w tej sieci, lub po prostu każdy (ustawienie dostępne pod: Settings > AirPlay and HomeKit > Allow Access > „Anyone on the Same Network” / “Everyone”). Nie jest to więc podatność pozwalająca na zaatakowanie każdego hosta z MacOSem w sieci. 

Dodatkowo atak ten pozwala na stworzenie złośliwego oprogramowania, które będzie się samo rozprzestrzeniało w sieci (ang. wormable) i atakowały kolejne dostępne urządzenia. Przywoływany w podlinkowanym wpisie przykład, to infekcja urządzenia po podłączeniu do publicznego WiFi (przy założeniu, że nie implementuje np. client isolation), a następnie przeniesienie go do sieci np. domowej lub firmowej, gdzie malware będzie próbowało wykonać atak na inne dostępne w tej sieci, podatne hosty. 

Warunki wstępne nie są tak łatwe do spełnienia (nie każdy użytkownik ma tak luźno zdefiniowaną politykę dostepu do AirPlay), to jednak ryzyko zostania zaatakowanym jest niezerowe. 

Badacze każdą z opisanych podatności, prezentują jeszcze jako film wideo YT, który dokumentuje uruchomienie exploita.

CVE-2025-24271

Podatność typu ominięcie autoryzacji (albo list kontroli dostępu – ang. Access Control List – ACL) przedstawia trochę inny wektor ataku. Luka oznaczona jako CVE-2025-24271 pozwala na wysyłanie komend AirPlay z pominięciem etapu parowania. W tym przypadku jednak, aby doprowadzić do wykonania kodu, wymagana jest interakcja użytkownika.

 CVE-2025-24132

Jak wspominaliśmy na początku, odkryte błędy wychodzą poza urządzenia firmy Apple i dotykają również innych producentów korzystających z AirPlay SDK. Taką podatnością jest określone jako CVE-2025-24132 – przepełnienie buforu na stosie (tak, też byśmy chcieli żeby już raz na zawsze umarło…). Skutkiem wykorzystania tego błędu jest zdalne wykonanie kodu (bez interakcji z użytkownikiem i bez względu na konfigurację urządzenia). Oczywiście możliwe jest zautomatyzowanie tej podatności do tego stopnia, że urządzenia mogą zacząć infekować następne, tworząc rozprzestrzeniające się malware, które nie wymaga żadnej interakcji z człowiekiem. 

Autorzy zaznaczają, że oprócz tych bardziej zabawnych metod ataku (tzw. trollowania) jak wyświetlanie obrazków czy ingerencja w odgrywaną muzykę (nie róbcie tego na urządzeniach, które nie są waszą własnością – to nielegalne, nawet dla żartu), podatność ta może zostać wykorzystana np. do skrytego podsłuchiwania okolicznych rozmów. 

Tak, mamy XXI wiek i mamy zdalne wykonanie kodu na głośniku :) Ale to nie wszystko, ponieważ w niektórych warunkach, ten atak może zostać wykorzystany przeciwko systemom Car-Play. Wymagane do tego celu jest użycie hotspotu WiFi systemu rozrywki. Badacze zauważają, że nie zawsze wymagana jest znajomość hasła WiFi, czasami możliwe jest wykorzystanie innych metod parowania. 

Jeśli w tym momencie zapragneliście po prostu wyłączyć WiFi oraz Bluetooth w Waszym CarPlay, to mamy dobrą i złą wiadomość. Dobra jest taka, że zdalnie nikt Was nie zaatakuje, zła jest taka, że jeśli atakujący podłączy się z wykorzystaniem kabla USB (np. złośliwy znajomy, którego podwozicie po imprezie) to atak wciąż jest możliwy. 

Badacze zgłosili sumarycznie 23 podatności do Apple. Jak informują – wszystkie z nich zostały naprawione. Niestety nie wszystkie otrzymały osobne identyfikatory CVE. Producenci coraz częściej grupują luki na podstawie wprowadzanych mitygacji czy wektora. Producent wedle zapewnień zgłaszających sprawnie współpracował w celu wyeliminowania podatności z systemu oraz SDK, co zasługuje na pochwałę. 

Część szczegółów dotyczących wektorów ataku nie została jeszcze ujawniona (resztę znajdziecie w oryginalnym poście autorów badania), ze względu na bezpieczeństwo użytkowników. Szczegóły techniczne luk, które zostały naprawione w styczniowej aktualizacji są już opublikowane. 

Jak w przypadku większości podatności tego typu – zalecana jest natychmiastowa aktualizacja. Oprócz tego, wyłączenie usługi AirPlay, w przypadku gdy nie jest używana, skutecznie mityguje te podatności. Dodatkowo warto ograniczyć możliwość dostępu do AirPlay tylko do urządzeń “zaufanych”. Można to zrobić zarówno przez ustawienia urządzenia, jak i przez reguły firewalla. Niestety wdrażanie łatek na systemy rozrywki zainstalowane w samochodach, czy oprogramowanie głośników/telewizorów nie jest tak proste, a dodatkowo producenci tych urządzeń często nie są aż tak bardzo przywiązani do bezpieczeństwa swoich produktów. Jesteśmy przekonani, że zobaczymy jeszcze skutki ataków na tego typu urządzenia nawet długo po wydaniu łatek. 

Badaczom gratulujemy ciekawego badania, a producentowi sprawnej reakcji :) 

~Black Hat Logan