Een reeks kwetsbaarheden in Apple’s AirPlay Protocol en AirPlay Software Development Kit (SDK) maakt apparaten van Apple en van derde partijen kwetsbaar voor verschillende aanvallen. Volgens cyberbeveiligingsbedrijf Oligo Security, dat de kwetsbaarheden ontdekte, kunnen deze worden misbruikt voor zero-click en one-click remote code execution (RCE) aanvallen. Ook zijn man-in-the-middle (MITM) aanvallen mogelijk.
Oligo Security heeft in totaal 23 beveiligingsproblemen gemeld bij Apple. Deze verzameling kwetsbaarheden, samen bekend als “AirBorne”, werden op 31 maart door Apple gepatcht. Er zijn beveiligingsupdates voor iPhones en iPads (iOS 18.4 en iPadOS 18.4), Macs (macOS Ventura, macOS Sonoma en macOS Sequoia) en de Apple Vision Pro (visionOS 2.4) uitgebracht.
Naast deze apparaatupdates heeft Apple ook de AirPlay audio SDK, de AirPlay video SDK en de CarPlay Communication Plug-in bijgewerkt om de problemen op te lossen.
Wormable zero-click aanvallen
De naam Airborne is goed gekozen, kwaadwillende kunnen namelijk eenvoudig toegang krijgen tot de apparaten. Hoewel de AirBorne-kwetsbaarheden alleen kunnen worden uitgebuit door aanvallers die zich in hetzelfde draadloze netwerk of peer-to-peer verbinding bevinden, kunnen ze worden gebruikt om kwetsbare apparaten over te nemen. Vervolgens kunnen deze apparaten als springplank dienen. Zo worden ook andere AirPlay-apparaten op hetzelfde netwerk gehackt.
Beveiligingsonderzoekers van Oligo hebben aangetoond dat aanvallers twee van de beveiligingslekken (CVE-2025-24252 en CVE-2025-24132) kunnen combineren. Hiermee kunnen ‘wormable’ zero-click RCE-exploits worden gecreëerd. Dit betekent dat malware zich zelfstandig kan verspreiden tussen apparaten zonder dat gebruikers iets hoeven te doen.
Daarnaast maakt de CVE-2025-24206 kwetsbaarheid het mogelijk voor aanvallers om de vereiste “Accepteer”-klik op AirPlay-verzoeken te omzeilen. Deze kan worden gecombineerd met andere kwetsbaarheden om zero-click aanvallen uit te voeren.
Dit soort kwetsbaarheden zijn niet nieuw voor Apple. Eerder dit jaar moest het bedrijf al een gevaarlijke zero-day kwetsbaarheid in de WebKit-engine van Safari patchen. Deze werd al actief misbruikt in geavanceerde aanvallen.
Verstrekkende gevolgen
“Een aanvaller kan bepaalde AirPlay-apparaten overnemen en malware verspreiden die zich verspreidt naar apparaten op elk lokaal netwerk waarmee het geïnfecteerde apparaat verbinding maakt,” waarschuwt Oligo. “Dit kan leiden tot geavanceerde aanvallen gerelateerd aan spionage, ransomware, supply-chain aanvallen en meer.” Als één iPhone van een organisatie is geïnfecteerd, kan die alle andere iPhones op het bedrijfsnetwerk ook infecteren.
AirPlay is een fundamenteel onderdeel van Apple-apparaten (Mac, iPhone, iPad, AppleTV, etc.). Maar het is inmiddels ook te vinden in allerlei apparaten van derden die de AirPlay SDK gebruiken. Hierdoor kunnen deze kwetsbaarheden verstrekkende gevolgen hebben.
Apple heeft wereldwijd meer dan 2,35 miljard actieve apparaten (waaronder iPhones, iPads, Macs en andere). Oligo schat dat er ook tientallen miljoenen apparaten van derden zijn. Denk aan speakers en tv’s met AirPlay-ondersteuning. Er zijn ook auto-infotainmentsystemen met CarPlay-ondersteuning.
Aanbevolen maatregelen
Het cybersecuritybedrijf adviseert organisaties om onmiddellijk alle zakelijke Apple-apparaten en AirPlay-apparaten naar de nieuwste software-release bij te werken. Daarnaast is het verstandig om werknemers te vragen ook al hun persoonlijke AirPlay-apparaten te updaten.
Aanvullende maatregelen die gebruikers kunnen nemen om de aanvalsmogelijkheden te beperken zijn:
- Alle Apple-apparaten updaten naar de nieuwste versie
- De AirPlay-ontvanger uitschakelen indien niet gebruikt
- AirPlay-toegang beperken tot vertrouwde apparaten met behulp van firewall-regels
- Het aanvalsoppervlak verkleinen door AirPlay alleen voor de huidige gebruiker toe te staan
Net als bij eerdere beveiligingsproblemen bij Apple is het cruciaal dat gebruikers de updates zo snel mogelijk installeren om zich te beschermen tegen potentiële aanvallen.