Millones de dispositivos compatibles con Apple AirPlay se encuentran en riesgo debido a una serie de vulnerabilidades de seguridad recientemente descubiertas. Estos fallos, colectivamente denominadas "AirBorne", permiten a atacantes acceder a los dispositivos a través de la conexión wifi, lo que podría tener consecuencias significativas para los usuarios. El nombre "AirBorne" facilita la referencia y el seguimiento de esta amenaza en las discusiones y actualizaciones de seguridad.

Investigadores de la firma de ciberseguridad Oligo han identificado vulnerabilidades críticas tanto en el protocolo AirPlay de Apple como en su Kit de Desarrollo de Software (SDK). Estas vulnerabilidades, al ser explotadas, posibilitan que atacantes accedan a dispositivos compatibles que estén conectados a la misma red wifi.

AirPlay es una tecnología inalámbrica fundamental que permite a los usuarios de Apple transmitir audio y video de forma fluida a una variedad de dispositivos, como altavoces, monitores y televisores inteligentes. El hecho de que tanto el protocolo central como el SDK sean vulnerables amplía considerablemente el alcance del problema, ya que afecta no solo a los dispositivos de Apple, sino también a una amplia gama de productos de terceros que integran la funcionalidad AirPlay. 

La naturaleza de la conexión a través de wifi implica que la proximidad a una red potencialmente comprometida es un factor clave para la explotación de estas vulnerabilidades.

Vulnerabilidad "AirBorne": riesgo inalámbrico

"AirBorne" representa un conjunto de errores de software que permiten a individuos malintencionados ejecutar su propio código en dispositivos habilitados para AirPlay. Estas vulnerabilidades abren la puerta a diversos métodos de ataque, incluyendo la ejecución remota de código (RCE) con y sin interacción del usuario, conocida como "zero-click" y "one-click" respectivamente.

La capacidad de ejecutar código de forma remota (RCE) es una brecha de seguridad grave, ya que otorga a los atacantes un control sustancial sobre el dispositivo comprometido, permitiéndoles realizar prácticamente cualquier acción como si estuvieran físicamente presentes. 

La distinción entre ataques de "zero-click" y "one-click" es fundamental para comprender el nivel de peligro. Los ataques de "zero-click" son particularmente peligrosos porque pueden llevarse a cabo sin que el usuario realice ninguna acción, lo que dificulta su prevención. Por otro lado, los ataques de "one-click" requieren una mínima interacción por parte del usuario. 

Algunas de las vulnerabilidades de "zero-click" están clasificadas como "wormable", lo que significa que un dispositivo infectado podría propagar automáticamente el ataque a otros dispositivos vulnerables en la misma red, creando un efecto dominó.

Dispositivos en riesgo

La vulnerabilidad "AirBorne" afecta a una amplia gama de dispositivos de Apple, incluyendo iPhones, Macs, Apple TVs y sistemas CarPlay. Además, los dispositivos de terceros que utilizan el SDK de AirPlay, como altavoces y televisores inteligentes, también son susceptibles a estos ataques.

Los sistemas de infoentretenimiento equipados con CarPlay también se encuentran en riesgo, especialmente si utilizan contraseñas de punto de acceso wifi predeterminadas, fáciles de adivinar o conocidas públicamente.

Se estima que millones de dispositivos de audio de terceros son compatibles con AirPlay, y CarPlay está integrado en más de 800 modelos de vehículos. Esta amplia gama de dispositivos afectados subraya la magnitud del riesgo, ya que abarca desde dispositivos móviles personales y ordenadores hasta sistemas de entretenimiento doméstico e incluso sistemas integrados en vehículos. 

El proceso de aplicación de parches para estos dispositivos podría ser más lento y menos uniforme en comparación con los dispositivos de Apple, ya que depende de la prontitud de cada fabricante para lanzar las actualizaciones necesarias.

Así funciona el ataque

Los investigadores demostraron la vulnerabilidad ejecutando código de forma remota en un altavoz Bose habilitado para AirPlay. Esta acción les permitió mostrar el logotipo de "AirBorne" en la pantalla del altavoz, y demostraron el potencial de control no autorizado sobre el dispositivo. Utilizando técnicas similares, los atacantes podrían acceder a dispositivos equipados con micrófono para realizar actividades de espionaje. 

En el caso de macOS, se puede lograr una ejecución remota de código sin interacción del usuario (CVE-2025-24252) al combinarla con una omisión de la interacción del usuario (CVE-2025-24206), siempre que el receptor de AirPlay esté configurado en "Cualquiera en la misma red" o "Todos". 

Una vulnerabilidad de desbordamiento de búfer basada en pila (CVE-2025-24132) permite la ejecución remota de código sin interacción del usuario en altavoces y receptores que utilizan el SDK de AirPlay en todas las configuraciones. Esta misma vulnerabilidad (CVE-2025-24132) afecta a los dispositivos CarPlay, permitiendo la ejecución remota de código sin interacción del usuario si el atacante se encuentra cerca de la unidad CarPlay y el punto de acceso wifi tiene una contraseña predeterminada o conocida.

También es posible una ejecución remota de código con una sola interacción del usuario en macOS (CVE-2025-24271 combinada con CVE-2025-24137) si el receptor de AirPlay está configurado en "Usuario actual". 

El ataque a menudo explota un análisis incorrecto de los argumentos plist utilizados en la API propietaria del protocolo AirPlay, que combina aspectos de los protocolos HTTP y RTSP a través del puerto 7000.

La demostración práctica en un dispositivo real, como el altavoz Bose, proporciona una evidencia tangible de la viabilidad y el impacto potencial de la vulnerabilidad. 

Consecuencias para los usuarios

Las consecuencias de esta vulnerabilidad incluyen el acceso no autorizado a la red wifi. Los atacantes podrían obtener acceso a dispositivos equipados con micrófono para realizar espionaje. La vulnerabilidad también podría permitir la reproducción de contenido no deseado (audio o video) en los dispositivos comprometidos. En escenarios más graves, esto podría llevar al despliegue de malware, ransomware y ataques a la cadena de suministro. 

Para los usuarios de CarPlay, los atacantes podrían distraer al conductor o incluso espiar sus conversaciones. Además, las vulnerabilidades podrían facilitar la lectura de archivos locales arbitrarios y la divulgación de información sensible. También se ha identificado la posibilidad de ataques de denegación de servicio (DoS). 

¿Hay alguna solución?

Apple implementó soluciones para sus dispositivos el pasado 31 de marzo, con el lanzamiento de iOS 18.4, iPadOS 18.4, macOS Ventura 13.7.5, macOS Sonoma 14.7.5, macOS Sequoia 15.4 y visionOS 2.4. Sin embargo, los dispositivos de terceros que admiten el protocolo AirPlay siguen expuestos hasta que sus fabricantes publiquen las actualizaciones correspondientes.

Oligo colaboró con Apple durante meses en la búsqueda de soluciones antes de hacer públicos sus hallazgos. En total, Oligo informó a Apple de 23 vulnerabilidades, lo que resultó en la emisión de 17 CVEs. 

Protege los dispositivos AirPlay

Para proteger sus dispositivos AirPlay, se recomienda a los usuarios y organizaciones que actualicen sus dispositivos Apple y de terceros a las últimas versiones de software lo antes posible. También es aconsejable desactivar la función AirPlay cuando no esté en uso y transmitir contenido solo a dispositivos de confianza.

En los dispositivos Apple, se puede navegar a Configuración > AirPlay y Handoff (o AirPlay y Continuidad) y seleccionar Usuario actual para la opción "Permitir AirPlay para". Esta configuración restringe la transmisión de AirPlay únicamente a los dispositivos del usuario. Además, se recomienda evitar habilitar AirPlay cuando se esté conectado a redes wifi públicas.

También se aconseja restringir el acceso a AirPlay a través de reglas de firewall a dispositivos de confianza. Estas recomendaciones enfatizan un enfoque de seguridad en múltiples capas, combinando actualizaciones de software con cambios proactivos en el comportamiento del usuario.