Die fortschreitende Vernetzung und die Integration intelligenter Technologien in den Alltag haben die Bedeutung von Sicherheit in Netzwerkprotokollen enorm gesteigert. Besonders Apple-Geräte sind aufgrund ihres massiven Einsatzes Haushalten und Unternehmen weltweit stark im Fokus von Forschern und Angreifern gleichermaßen. Eine aufsehenerregende neue Sicherheitslücke, bekannt unter dem Namen AirBorne, zielt spezifisch auf das AirPlay-Protokoll ab und ermöglicht unter bestimmten Voraussetzungen eine Remote Code Execution (RCE), also die Ausführung beliebigen Codes auf einem entfernten Zielgerät. AirPlay, die proprietäre Apple-Technologie zum kabellosen Streamen von Audio, Video und Bildschirminhalten, läuft standardmäßig auf TCP-Port 7000. Die Protokollkomponente AirPlayScreen ist essenziell für den Verbindungsaufbau, insbesondere während des Pairing-Prozesses, der eine sichere Kommunikation zwischen Sender und Empfänger gewährleisten soll.
Genau an dieser Stelle haben die Sicherheitsexperten von Oligo Security eine kritische Schwachstelle entdeckt, die stark ausnutzbar ist und die Kontrolle über das Zielgerät ermöglichen kann, wenn es ungeschützt bleibt. Die AirBorne-Schwachstelle umfasst zwei miteinander verbundene CVEs: CVE-2025-24132 und CVE-2025-24252. Erstere betrifft einen Heap Overflow im AirPlay-Pairing, während letzteres eine durch fehlerhafte Verarbeitung von mDNS TXT Records ausgelöste Crash-Bedingung beschreibt. Beide tragen zu einer umfassenden Angriffskette bei und unterstreichen die Notwendigkeit, Apples Netzwerkstapel auf kritische Schwachstellen zu prüfen. Die Ursache für den Heap Overflow liegt in der fehlerhaften Verarbeitung von Pairing-Init-Paketen.
Während des Pairing-Prozesses erwartet das Apple-Gerät gut definierte, strukturierte Daten, die in Form von XML- oder binären Plist-Daten vorliegen. Wird ein unüblich großer oder manipuliert gepackter Paketinhalt gesendet, überflutet dies den Heap-Speicher und ermöglicht einem Angreifer, Speicherbereiche gezielt zu überschreiben. Das bedeutet, dass ohne große Hürden Schadcode eingeschleust werden kann, solange das Zielgerät verwundbar und gegebenenfalls jailbreaked ist. Die zweite mit AirBorne in Zusammenhang stehende Schwachstelle, CVE-2025-24252, führt durch das Einschleusen manipulierten mDNS TXT Records zu einem Crash des AirPlay-Empfängers. mDNS (Multicast DNS) ist ein essenzielles Element für die Geräteerkennung im lokalen Netzwerk, welches auch von AirPlay genutzt wird.
Die Sicherheitslücke wird provoziert, wenn speziell angepasste TXT Records mit unerwarteten Strukturen oder Werten an das Ziel gesendet werden. Dadurch kann das AirPlayReceiver-Subsystem zum Absturz gebracht werden, was als Ausgangspunkt für weiterführende Exploits dienen kann. Die Forscher haben zur Veranschaulichung der Angriffsmöglichkeit funktionierende Proof-of-Concepts (PoCs) entwickelt, die in einer eigens eingerichteten Testumgebung reproduzierbar sind. Die PoCs sind in Python geschrieben und bedürfen spezieller Voraussetzungen, darunter ein Kali Linux System mit einer Wi-Fi-Karte, die Monitor Mode unterstützt, um mDNS Datenverkehr abfangen und manipulieren zu können. Ferner ist der Angriff meist nur in lokalen Netzwerken praktikabel, da AirPlay-Geräte vornehmlich via WLAN kommunizieren.
Der Exploit basiert darauf, zunächst verwundbare Geräte automatisiert per mDNS zu erkennen und abzufragen, ob der TCP-Port 7000 offen ist und die AirPlay-Pairing-Schnittstelle aktiv ist. Anschließend wird der Heap Overflow gezielt über manipulierte TCP-Pakete ausgelöst. Im Weiteren kann über die Lücke ein Launchctl-Dienst mit einem Reverse Shell Payload in das Zielgerät injiziert werden. Der Angreifer erhält somit in gewissen Fällen vollständige Kontrolle über das System und kann beispielsweise sensible Daten auslesen, Anwendungen starten oder das Gerät dauerhaft kompromittieren. Wichtig zu betonen ist, dass die Remote Code Execution in der Praxis derzeit hauptsächlich auf ungeschützte oder jailbreaked Apple Geräte beschränkt ist, da Apple in neueren Versionen der iOS- und tvOS-Betriebssysteme verschiedene Schutzmechanismen gegen Speicherüberläufe integriert hat.
Dennoch zeigt AirBorne eindrücklich, wie gefährlich Schwachstellen auf Protokollebene sein können und wie sie genutzt werden können, um Sicherheitsbarrieren zu umgehen. Für Sicherheitsforscher und IT-Security-Teams ist AirBorne ein hervorragendes Beispiel dafür, wie Netzwerkprotokolle einem intensiven Penetrationstest unterzogen werden sollten. Der öffentliche Zugriff auf die PoC Scripts ermöglicht es Verantwortlichen, eigene Netzwerke zu testen und mögliche Sicherheitsprobleme frühzeitig zu erkennen, bevor sie von Kriminellen ausgenutzt werden. Der Installationsprozess der PoCs ist überschaubar umgesetzt und führt den Anwender Schritt für Schritt durch die notwendigen Konfigurationen. Das Einrichten des Monitor Mode auf der Wi-Fi-Karte, der Start des Avahi-daemons für mDNS-Dienste und die Anpassung der Skripte an die jeweiligen IP-Adressen und Interfaces sind Grundvoraussetzungen, die auch Einsteigern im Bereich der IT-Sicherheit ermöglichen, einen Blick hinter die Kulissen moderner Angriffe zu werfen.
Darüber hinaus demonstriert die Kombination der beiden CVEs in einem expliziten Chain Exploit, wie einzelne Schwachstellen zusammengefügt werden, um eine deutlich wirkungsvollere und automatisierte Attacke zu ermöglichen. Der Chain Exploit übernimmt die Entdeckung von verwundbaren Geräten, führt die initiale Schwachstellenprobe durch und startet im Erfolgsfall automatisch den RCE Payload. Ein kontinuierlicher Live-Modus sorgt für eine permanente Suche nach neuen Zielen im lokalen Netzwerk, was einer realistischen Attacke nahekommt. Während AirBorne vor allem auf Apple AirPlay abzielt, wirft die Analyse der Schwachstellen auch Fragen hinsichtlich anderer Audio- und Streaming-Protokolle auf, die ähnliche Techniken zur Geräteidentifikation und zum Verbindungsaufbau nutzen. Es bleibt zu erwarten, dass in Zukunft weitere Sicherheitsanalysen auch hinsichtlich anderer konkurrierender oder verwandter Standards erscheinen.
Apple selbst hat auf diese Sicherheitslage reagiert und in Kürze Updates für die betroffenen Betriebssysteme angekündigt. Nutzer sind dringend angehalten, ihre Geräte regelmäßig zu aktualisieren, um gegen die beschriebenen Exploits geschützt zu sein. Für Unternehmensnetzwerke und öffentliche WLANs, in denen Apple-Geräte eingebunden werden, empfiehlt es sich, die Netzwerkaktivitäten zu überwachen und unerwartete AirPlay-Anfragen oder ungewöhnlichen mDNS-Verkehr genau zu analysieren. Die Sicherheitslücke bietet zugleich Lehrstoff, wie tief verzahnt Softwarekomponenten sein können und wie wichtig eine ganzheitliche, protokollübergreifende Sicherheitsbewertung für heutige IoT- und Smart-Home Systeme ist. Das AirBorne PoC Projekt hat einen wichtigen Beitrag geleistet, um die Aufmerksamkeit auf kritische Protokollschwächen zu richten und das Sicherheitsbewusstsein in der Community zu stärken.
Insgesamt verdeutlicht der AirBorne Exploit, dass auch etablierte und weit verbreitete Technologien wie Apples AirPlay nicht von schwerwiegenden Sicherheitslücken verschont bleiben. Ein verantwortungsvoller Umgang mit solchen Erkenntnissen und die aktive Verbreitung von Wissen ermöglichen es, Systeme besser abzusichern und die Sicherheit der Nutzer zu gewährleisten. Für IT-Profis, Hobby-Hacker und interessierte Anwender gleichermaßen bietet die umfassende Auseinandersetzung mit den AirBorne-Schwachstellen ein tiefes Verständnis moderner Exploit-Methodiken und deren praktische Relevanz in der Welt vernetzter Geräte.
![Is Microstrategy a Pyramid Scheme? [video]](/images/4D78B810-8BCA-43E4-9BC4-C753E32FFE7A)
