Các lỗ hổng trong giao thức AirPlay của Apple có thể cho phép kẻ tấn công thực thi mã từ xa mà không cần tương tác từ người dùng.
Theo Oligo Security, các lỗ hổng trong giao thức AirPlay và SDK đi kèm của Apple có thể cho phép kẻ tấn công chiếm quyền điều khiển thiết bị, trong một số trường hợp mà không cần sự tương tác của người dùng.
Có tổng cộng 23 lỗi bảo mật được xác định, có thể bị khai thác qua mạng không dây và kết nối ngang hàng dẫn đến việc không chỉ xâm phạm hoàn toàn các sản phẩm của Apple mà còn cả các thiết bị của bên thứ ba sử dụng SDK AirPlay.
Hai trong số những lỗ hổng được phát hiện, được theo dõi dưới mã CVE-2025-24252 và CVE-2025-24132, cho phép kẻ tấn công xây dựng các khai thác thực thi mã từ xa mà không cần nhấp chuột và có khả năng lan truyền. Các thiết bị bị xâm phạm có thể được sử dụng như bệ phóng cho các cuộc tấn công tiếp theo.
“Điều này có nghĩa là kẻ tấn công có thể chiếm quyền điều khiển các thiết bị hỗ trợ AirPlay và thực hiện các hành động như triển khai mã độc lan truyền đến các thiết bị khác trên bất kỳ mạng nội bộ nào mà thiết bị bị nhiễm kết nối đến. Điều này có thể dẫn đến việc thực hiện các cuộc tấn công phức tạp khác liên quan đến gián điệp, ransomware, tấn công chuỗi cung ứng, và nhiều hơn nữa,” Oligo cho biết.
Tổng cộng có 17 mã định danh CVE được cấp cho các vấn đề được tiết lộ, và Apple đã hợp tác với Oligo để giải quyết chúng trong các phiên bản iOS, iPadOS, và macOS gần đây.
Những lỗ hổng này, được Oligo gọi là AirBorne, có thể bị khai thác độc lập hoặc kết hợp để thực thi mã từ xa (RCE), vượt qua bảo vệ, đọc file, tiết lộ thông tin, tấn công man-in-the-middle (MiTM), và từ chối dịch vụ (DoS).
CVE-2025-24252, một lỗi use-after-free, có thể dẫn đến RCE trên macOS. Nếu kết hợp với CVE-2025-24206, một lỗi bỏ qua tương tác người dùng, nó dẫn đến RCE không cần nhấp chuột trên “các thiết bị macOS kết nối cùng mạng với kẻ tấn công khi AirPlay receiver bật và được cấu hình ‘Anyone on the same network’ hoặc ‘Everyone’”.
“Lỗ hổng cho phép các khai thác lan truyền trong những điều kiện này, vì nó mở ra một đường tấn công có thể lan truyền từ máy này sang máy khác mà không cần sự tương tác của con người,” Oligo cho biết.
Một thiết bị bị xâm phạm kết nối với mạng doanh nghiệp có thể cho phép kẻ tấn công nhắm mục tiêu thêm các thiết bị khác và di chuyển ngang. Oligo đã công bố một video minh họa việc khai thác CVE-2025-24252.
CVE-2025-24271, một lỗi ACL cho phép kẻ tấn công không xác thực gửi lệnh AirPlay mà không cần ghép đôi, có thể được kết hợp với CVE-2025-24137 (được vá vào tháng 1 năm 2025) để thực hiện RCE chỉ với một lần nhấp chuột.
CVE-2025-24132, một vấn đề tràn bộ đệm dựa trên ngăn xếp, có thể bị khai thác để thực hiện RCE không cần nhấp chuột trên loa và receiver sử dụng SDK AirPlay, bất kể cấu hình của chúng, và có thể bị lạm dụng để tạo các khai thác lan truyền.
Lỗi này cũng khiến các thiết bị CarPlay dễ bị RCE không cần nhấp chuột trong một số điều kiện, có khả năng cho phép kẻ tấn công làm mất tập trung tài xế thông qua hiển thị hình ảnh và phát âm thanh, nghe lén cuộc trò chuyện của họ, hoặc theo dõi vị trí của xe, Oligo cho biết.