Uma série de vulnerabilidades críticas no protocolo AirPlay da Apple e em seu kit de desenvolvimento de software (SDK) colocou bilhões de dispositivos em risco, incluindo iPhones, iPads, Macs e aparelhos de terceiros, como alto-falantes e TVs inteligentes. Descobertas pela empresa de cibersegurança Oligo Security e nomeadas coletivamente como “AirBorne”, essas falhas permitem ataques de execução remota de código (RCE) sem interação do usuário, os chamados “zero-click”, além de outros exploits, como ataques man-in-the-middle (MITM) e negação de serviço (DoS). Embora a Apple tenha lançado atualizações para seus dispositivos, milhões de equipamentos de terceiros permanecem vulneráveis devido à lentidão na aplicação de patches.
O que são as vulnerabilidades AirBorne?
As 23 vulnerabilidades, das quais 17 receberam identificadores CVE, afetam o protocolo AirPlay, usado para streaming sem fio de áudio, vídeo e espelhamento de tela. Entre as mais graves, a CVE-2025-24252, uma falha de uso após liberação (use-after-free), pode ser combinada com a CVE-2025-24206, que ignora a necessidade de interação do usuário, permitindo RCE em dispositivos macOS configurados para aceitar conexões AirPlay de “qualquer pessoa na mesma rede” ou “todos”. Outra falha crítica, CVE-2025-24132, é um estouro de buffer baseado em pilha que afeta dispositivos usando o AirPlay SDK, como alto-falantes e sistemas CarPlay, possibilitando ataques zero-click que podem se propagar automaticamente, tornando-os “wormable” — capazes de infectar outros dispositivos na mesma rede sem intervenção humana.
Essas vulnerabilidades permitem que atacantes assumam o controle total de dispositivos vulneráveis, instalem malware, espionem conversas via microfones, roubem dados sensíveis ou até rastreiem a localização de veículos com CarPlay. Um cenário preocupante é um dispositivo comprometido em uma rede Wi-Fi pública, como em um café, que depois se conecta a uma rede corporativa, espalhando malware para outros equipamentos.
Impactos e riscos
Com mais de 2,35 bilhões de dispositivos Apple ativos e dezenas de milhões de aparelhos de terceiros compatíveis com AirPlay, o alcance das vulnerabilidades é vasto. Dispositivos de terceiros, como TVs inteligentes e alto-falantes, são particularmente preocupantes, pois muitos não recebem atualizações regulares ou nunca serão corrigidos. A falha também afeta sistemas CarPlay, embora exploits nesse caso exijam proximidade física e acesso ao Bluetooth ou USB do veículo, reduzindo o risco prático. Ainda assim, possíveis ataques em carros incluem exibir imagens distrativas ou acessar microfones para espionagem.
As vulnerabilidades exploram a forma como o AirPlay processa comandos em formato plist (lista de propriedades) enviados pela porta 7000, usando protocolos HTTP e RTSP. A falta de validação rigorosa nesses dados permite que atacantes manipulem a memória dos dispositivos, resultando em execução de código malicioso. A natureza “wormable” das falhas significa que um único dispositivo comprometido pode atuar como ponto de entrada para infectar redes inteiras, aumentando o potencial para ataques sofisticados, como ransomware ou espionagem corporativa.
Resposta da Apple e recomendações
A Apple agiu rapidamente após a divulgação responsável pela Oligo, lançando correções em 31 de março de 2025 para iOS 18.4, iPadOS 18.4, macOS Ventura 13.7.5, macOS Sonoma 14.7.5, macOS Sequoia 15.4 e visionOS 2.4. Atualizações também foram aplicadas aos SDKs de áudio e vídeo do AirPlay e ao plug-in de comunicação do CarPlay. No entanto, a empresa informou que as falhas em dispositivos Apple só são exploráveis se os usuários alterarem as configurações padrão do AirPlay, como habilitar o receptor para todos na rede.
Para se proteger, usuários devem atualizar imediatamente seus dispositivos Apple para as versões mais recentes e desativar o receptor AirPlay quando não estiver em uso. Também é recomendável restringir as configurações de AirPlay para “usuário atual” e evitar redes Wi-Fi públicas não seguras. Para dispositivos de terceiros, é crucial verificar com os fabricantes a disponibilidade de atualizações de firmware, embora muitos permaneçam vulneráveis devido à falta de suporte.
Futuro da segurança no AirPlay
As vulnerabilidades AirBorne destacam a fragilidade de protocolos sem fio amplamente utilizados, especialmente em ecossistemas com dispositivos de múltiplos fabricantes. A dependência do AirPlay em configurações abertas para facilitar a conectividade o torna um alvo atraente para atacantes. A Apple deve continuar aprimorando a validação de dados e as restrições de acesso em futuras versões do protocolo, enquanto fabricantes de terceiros precisam melhorar seus processos de atualização.
Você atualizou seus dispositivos Apple para se proteger das falhas AirBorne? Acha que dispositivos de terceiros com AirPlay são um risco significativo? Compartilhe sua opinião nos comentários e espalhe esta matéria para alertar outros usuários!
Fontes
Oligo Security, Wired, The Verge, BleepingComputer, TechRadar