Výzkumníci ze společnosti Oligo Security dnes zveřejnili podrobnosti o sérii vážných bezpečnostních chyb v technologii AirPlay, která se používá na milionech zařízení Apple i u příslušenství třetích stran.
Zranitelnosti byly pojmenovány jako „Airborne“ a představovaly reálné riziko pro uživatele připojené k veřejným či sdíleným Wi-Fi sítím. Podle Oligo mohli hackeři pomocí těchto zranitelností převzít kontrolu nad AirPlay zařízeními a následně přes ně šířit malware na další připojená zařízení v síti. K útoku stačilo, aby se útočník nacházel na stejné Wi-Fi síti jako oběť – tedy například v kavárně, na letišti nebo v kanceláři. „Tyto chyby by mohly být zneužity k sofistikovaným útokům včetně špionáže, vydírání (ransomware), útoků na dodavatelské řetězce a dalších,“ uvádí Oligo. Apple ve spolupráci s Oligo identifikoval celkem 23 bezpečnostních zranitelností a vydal opravy na 17 z nich formou CVE záznamů. Opravy byly vydány v posledních měsících napříč systémy iOS, iPadOS, macOS, tvOS a visionOS.
Součástí aktualizace byla i oprava AirPlay SDK určeného výrobcům třetích stran. Právě zde ale přetrvává největší problém – podle CTO společnosti Oligo, Gal Elbaze, zůstávají miliony zařízení třetích stran stále bez opravy. „AirPlay je podporován v obrovském množství zařízení, a některá z nich budou trvat roky, než dostanou opravu – pokud ji vůbec někdy dostanou,“ řekl Elbaz pro Wired. Zranitelnosti se podle výzkumníků týkají i CarPlay, což by teoreticky umožnilo útočníkům získat přístup k palubnímu systému vozidla. Tento scénář je však méně pravděpodobný, protože by vyžadoval fyzickou přítomnost útočníka v autě a připojení přes Bluetooth nebo USB.