Мільйони пристроїв AirPlay можуть наражати користувачів на небезпеку – і хакерам навіть не потрібен пароль, щоб зламати їх. Нещодавно виявлений набір вразливостей, що отримав назву AirBorne, робить технології AirPlay та CarPlay від Apple вразливими до атак хакерів в одній і тій же мережі Wi-Fi. За даними компанії Oligo, що спеціалізується на кібербезпеці, ці вразливості можуть дозволити зловмисникам викрадати сторонні смарт-колонки, телевізори, приставки та інші гаджети з підтримкою AirPlay. AirPlay – це технологія бездротового потокового передавання Apple, яка дозволяє користувачам обмінюватися відео, аудіо та іншим контентом між пристроями в одній мережі, тоді як CarPlay підключає iPhone до інформаційно-розважальної системи автомобіля для навігації, прослуховування музики та спілкування. Обидві системи широко використовуються в екосистемі Apple і в мільйонах сторонніх продуктів.
Відкритий дизайн AirPlay зробив його вразливимОліго розкрила недоліки у детальному звіті. Фірма працювала з Apple над виправленням власних продуктів, але мільйони сторонніх пристроїв, ймовірно, все ще вразливі. Дослідники продемонстрували, що дві вразливості, CVE-2025-24252 та CVE-2025-24132, можуть бути використані для створення черв’ячних експлойтів з нульовим кліком. Іншими словами, зловмисники можуть викрасти певні пристрої з підтримкою AirPlay без будь-якої взаємодії з користувачем.
Скомпрометовані пристрої можуть бути використані для серйозних атак, таких як шпигунство, доставка програм-вимагачів, проникнення в ланцюги поставок і стеження. У деяких випадках зловмисники можуть навіть викрасти мікрофон розумної колонки, щоб підслуховувати розмови або маніпулювати відтворенням медіа, щоб відволікти увагу. Вразливості пов’язані з відкритим доступом до AirPlay, який спочатку був створений для безперешкодного сполучення пристроїв через Wi-Fi. Дослідники Oligo виявили, що сервери AirPlay часто передають команди без достатнього контролю доступу, що робить пристрої вразливими до віддаленого захоплення. Ризики публічного Wi-Fi реальні, але обмежені. Компанія Apple виправила свої власні пристрої за допомогою нещодавніх оновлень, але вона не має контролю над процесом оновлення для сторонніх виробників. Oligo попереджає, що багато пристроїв сторонніх виробників, особливо старих, можуть ніколи не отримати виправлення, що зробить їх назавжди вразливими.
Хоча зловмисник повинен бути в тій самій мережі Wi-Fi, щоб скористатися недоліками AirBorne, публічні мережі Wi-Fi становлять очевидну небезпеку. Аеропорти, готелі, кафе та інші місця масового скупчення людей – ідеальне середовище для викрадення зловмисниками вразливих пристроїв. Проте люди рідко приносять пристрої розумного дому в ці місця, що обмежує їх практичну вразливість. Деякі пристрої з підтримкою CarPlay також можуть бути вразливими. Якщо пристрій CarPlay використовує стандартний, передбачуваний або слабкий пароль до Wi-Fi, зловмисники, що знаходяться поблизу, можуть отримати доступ і виконати віддалений кодовий експлойт. Крім того, деякі виробники обмінюються обліковими даними Wi-Fi через Bluetooth, використовуючи протокол IAP2, а це означає, що зловмисник може перехопити цей процес, спостерігаючи і вводячи PIN-код під час створення пари. Навіть бездротові системи CarPlay не захищені, оскільки вразливості можуть бути використані через фізичні USB-з’єднання. Успішні атаки можуть дозволити підслуховувати розмови всередині автомобіля, відстежувати його місцезнаходження або відволікати водіїв за допомогою маніпуляцій з відтворенням медіафайлів.
Як захистити свої AirPlay-пристрої
Для користувачів найкращим кроком буде встановити всі доступні оновлення для сторонніх AirPlay-пристроїв, щойно вони будуть випущені. Також безпечніше тримати ці пристрої в захищеній домашній мережі та не під’єднувати їх до публічних мереж Wi-Fi, де ризики злому вищі. Крім того, захист власної мережі Wi-Fi закриває майже всі вектори атак, які піддаються впливу «Airborne». Користувачі можуть вимкнути функції AirPlay на пристроях, якими вони не користуються регулярно, щоб зменшити свою вразливість. У деяких випадках заміна старих продуктів розумного будинку, які більше не отримують оновлень, може бути найкращим варіантом для підтримки безпеки.
