Zero-click y gusano por Wi‑Fi: AirPlay se convirtió en la puerta de entrada a macOS

Los especialistas de Oligo Security descubrieron 23 vulnerabilidades en el protocolo Apple AirPlay y en el SDK de AirPlay, que permiten tomar control remoto de dispositivos Apple y de terceros compatibles con AirPlay. El vector de ataque fue denominado AirBorne, no solo por el carácter inalámbrico de la transmisión de datos, sino también porque las vulnerabilidades permiten lanzar ataques tipo "gusano", que se propagan de un dispositivo a otro sin intervención del usuario.

Las vulnerabilidades más graves son las de tipo Zero-Click y One-Click RCE, que permiten ejecutar código arbitrario en dispositivos vulnerables. Algunas pueden propagarse sin intervención del usuario utilizando la red local, Wi-Fi o Bluetooth. Lo más alarmante es que la infección de un solo dispositivo puede comprometer toda la infraestructura corporativa si el dispositivo infectado se conecta a la red interna.

Una de estas vulnerabilidades, CVE-2025-24252, es un error de tipo use-after-free. En combinación con CVE-2025-24206, permite ejecutar código sin ningún clic en dispositivos macOS con el receptor AirPlay activado y la configuración “todos en la misma red”. En este escenario, una infección puede comenzar, por ejemplo, en una red Wi-Fi pública y continuar dentro de la red corporativa.

Los dispositivos de terceros que utilizan el SDK de AirPlay son vulnerables a otra falla crítica — CVE-2025-24132. Se trata de un desbordamiento de búfer que permite la ejecución de código en altavoces, receptores y coches con CarPlay incluso en condiciones mínimas. En algunos casos, basta con una contraseña de Wi-Fi predecible en el coche o acceso visual al PIN de conexión Bluetooth. Incluso con conexión por USB, estos dispositivos siguen siendo vulnerables.

Las posibles consecuencias incluyen no solo la reproducción de archivos de audio o imágenes aleatorias, sino también la grabación encubierta de micrófonos, vigilancia de conductores, manipulación de contenido y rastreo de movimientos del vehículo. Los investigadores enfatizan que el ataque puede ejecutarse prácticamente sin que el usuario lo note.

AirBorne no es simplemente un conjunto de vulnerabilidades. Es una señal de alerta sobre el enfoque arquitectónico del protocolo AirPlay, donde los archivos plist que contienen parámetros a menudo no se verifican adecuadamente. En uno de los ejemplos, CVE-2025-24129, al intentar analizar un plist sin comprobar su tipo, se produce un fallo que permite su explotación. Otra vulnerabilidad sin CVE asignado causa el fallo del ControlCenter al faltar la clave "value" en la solicitud /setProperty, lo que puede provocar una denegación de servicio.

Los escenarios de ataque también incluyen acciones más sofisticadas. Por ejemplo, un atacante podría provocar un fallo en AirPlay en una televisión de una sala de reuniones, luego simular un dispositivo vía mDNS y reemplazar la señal de vídeo real, interceptando la transmisión de una reunión confidencial. Esto no es solo una teoría, sino un vector de ataque completamente viable basado en fallos DoS y MITM.

Es importante destacar la escala potencial del impacto. Según datos oficiales de Apple, en enero de 2025 había 2.350 millones de dispositivos Apple activos en todo el mundo. Más de 100 millones de usuarios utilizan macOS, y decenas de millones de dispositivos de terceros son compatibles con el SDK de AirPlay. CarPlay está integrado en más de 800 modelos de coches, todos ellos potencialmente vulnerables a una cadena de compromisos.

Oligo Security reportó a Apple las 23 vulnerabilidades, de las cuales 17 recibieron identificadores CVE. Las restantes fueron agrupadas o corregidas sin asignación individual. La investigación comenzó por casualidad, cuando al escanear el puerto 7000 en una red local, los expertos notaron que AirPlay aceptaba comandos incluso con la configuración predeterminada. Una auditoría posterior reveló decenas de puntos vulnerables.

Para protegerse, la empresa recomienda actualizar urgentemente todos los dispositivos Apple, desactivar el receptor AirPlay si no es necesario, restringir el tráfico en el puerto 7000 y configurar AirPlay solo para el usuario actual. Aunque esto no elimina todos los riesgos, reduce significativamente la superficie de ataque.

Apple ya ha lanzado actualizaciones de seguridad. Durante el proceso de divulgación responsable, la empresa recibió toda la información técnica necesaria, incluyendo el código y los escenarios de explotación. Sin embargo, dada la enorme cantidad de dispositivos y la posibilidad de ataques sin interacción, AirBorne podría convertirse en uno de los precedentes más peligrosos en la historia de Apple.