La firma de ciberseguridad Oligo informó a comienzos de 2025 del hallazgo de vulnerabilidades graves en AirPlay, el protocolo de Apple, indicando que atacantes podrían tomar el control remoto de dispositivos. Una de esas fallas, registrada como CVE‑2025‑24132, permite la creación de exploits capaces de ejecutar código de forma remota.
AirPlay se usa en dispositivos Apple y también está licenciada a terceros que la integran en sus equipos multimedia. Los investigadores de Oligo señalaron además que se exponen implementaciones de CarPlay vulnerables, permitiendo ataques vía USB, Wi‑Fi o Bluetooth sin interacción del usuario.
El vector de ataque aprovecha el protocolo que CarPlay emplea para establecer la conexión inalámbrica, el cual realiza una autenticación unidireccional: el teléfono verifica al vehículo, pero no al revés. De este modo, un atacante con Bluetooth puede hacerse pasar por un iPhone, extraer las credenciales Wi‑Fi y conectarse al punto de acceso del automóvil; desde esa posición, se podría otorgarle privilegios administrativos.
Apple publicó parches en versiones específicas: AirPlay audio SDK 2.7.1, AirPlay video SDK 3.6.0.126, y CarPlay Communication Plug-in R18.1, aunque no todos los fabricantes han aplicado la corrección.
Sé el primero en publicar un comentario.