Un ensemble de failles de sécurité dans le protocole AirPlay d’Apple et le Kit de développement logiciel (SDK) AirPlay ont exposé des appareils apple et tiers non corrigés à diverses attaques, y compris l’exécution de code à distance.
Selon les chercheurs en sécurité de la société de cybersécurité Oligo Security qui ont découvert et signalé les failles, elles peuvent être exploitées dans des attaques RCE en zéro clic et en un clic, des attaques de l’homme du milieu (MITM) et des attaques par déni de service (DoS), ainsi que pour contourner la liste de contrôle d’accès (ACL) et l’interaction de l’utilisateur, pour accéder à des informations sensibles et lire des fichiers locaux arbitraires.
Au total, Oligo a divulgué 23 vulnérabilités de sécurité à Apple, qui a publié des mises à jour de sécurité pour corriger ces vulnérabilités (collectivement appelées « Aéroportées ») le 31 mars pour les iPhones et iPads (iOS 18.4 et iPadOS 18.4), les Mac (macOS Ventura 13.7.5, macOS Sonoma 14.7.5 et macOS Sequoia 15.4) et les appareils Apple Vision Pro (visionOS 2.4).
La société a également corrigé le SDK audio AirPlay, le SDK vidéo AirPlay et le plug-in de communication CarPlay.
Bien que les vulnérabilités aéroportées ne puissent être exploitées que par des attaquants sur le même réseau via des réseaux sans fil ou des connexions poste à poste, elles permettent de prendre le contrôle d’appareils vulnérables et d’utiliser l’accès comme rampe de lancement pour compromettre d’autres appareils compatibles AirPlay sur le même réseau.
Les chercheurs en sécurité d’Oligo ont déclaré qu’ils étaient en mesure de démontrer que les attaquants peuvent utiliser deux des failles de sécurité (CVE-2025-24252 et CVE-2025-24132) pour créer des exploits RCE sans clic vermifuges.
De plus, la faille de contournement d’interaction utilisateur CVE-2025-24206 permet à un acteur de la menace de contourner les exigences de clic « Accepter » sur les demandes AirPlay et peut être chaînée avec d’autres failles pour lancer des attaques sans clic.
« Cela signifie qu’un attaquant peut prendre le contrôle de certains appareils compatibles AirPlay et faire des choses comme déployer des logiciels malveillants qui se propagent aux appareils sur n’importe quel réseau local auquel l’appareil infecté se connecte. Cela pourrait conduire à la livraison d’autres attaques sophistiquées liées à l’espionnage, aux ransomwares, aux attaques de la chaîne d’approvisionnement, etc. », a averti Oligo.
« Parce qu’AirPlay est un logiciel fondamental pour les appareils Apple (Mac, iPhone, iPad, AppleTV, etc.) ainsi que les appareils tiers qui exploitent le SDK AirPlay, cette classe de vulnérabilités pourrait avoir des impacts considérables. »
La société de cybersécurité conseille aux organisations de mettre immédiatement à jour tous les appareils Apple d’entreprise et les appareils compatibles AirPlay vers la dernière version logicielle et de demander aux employés de mettre également à jour tous leurs appareils personnels AirPlay.
Les mesures supplémentaires que les utilisateurs peuvent prendre pour réduire la surface d’attaque incluent la mise à jour de tous leurs appareils Apple vers la dernière version, la désactivation du récepteur AirPlay s’il n’est pas utilisé, la restriction de l’accès AirPlay aux appareils de confiance à l’aide de règles de pare-feu et la réduction de la surface d’attaque en autorisant uniquement AirPlay pour l’utilisateur actuel.
Apple affirme qu’il existe plus de 2,35 milliards d’appareils Apple actifs dans le monde (y compris les iPhones, iPads, Mac et autres), et Oligo estime qu’il existe également des dizaines de millions d’appareils audio tiers tels que des haut-parleurs et des téléviseurs prenant en charge AirPlay, sans compter les systèmes d’infodivertissement de voiture avec prise en charge CarPlay.