Die zunehmende Vernetzung von Geräten im Internet der Dinge (IoT) und vor allem die weitverbreitete Nutzung von Apple-Produkten machen das Risiko durch Sicherheitslücken in wichtigen Protokollen wie AirPlay zu einer ernstzunehmenden Gefahr. AirPlay, das proprietäre Protokoll für die drahtlose Übertragung von Audio- und Videoinhalten zwischen Apple-Geräten sowie kompatiblen Drittanbietergeräten, stellt eine zentrale Technologie im Apple-Ökosystem dar. Gleichzeitig wurde eine neue Angriffsszenario namens AirBorne von Forschern von Oligo Security enthüllt, das verheerende Folgen haben kann. Im Fokus steht eine Reihe von Schwachstellen, deren Ausnutzung eine sogenannte wormbare Zero-Click Remote Code Execution (RCE) ermöglicht – das heißt, Angreifer können sich ohne jegliche Benutzerinteraktion innerhalb eines Netzwerks unbemerkt Zugang verschaffen, die Kontrolle über Geräte übernehmen und Schadsoftware verbreiten. Ein solcher Angriff birgt enormes Schadenspotenzial für Unternehmen, Privatanwender und die gesamte digitale Infrastruktur.
Das AirPlay-Protokoll kommuniziert grundsätzlich über den Port 7000 und nutzt eine Kombination aus HTTP- und RTSP-Protokollen. Dabei werden Aktionen und Befehle häufig im plist-Format übermittelt, einem hierarchischen, schlüsselwertbasierten Datenformat, das in der Apple-Welt weitverbreitet ist. Untersuchungen zeigten, dass die Verarbeitung dieser plist-Daten oft mangelhaft abgesichert ist. Dadurch ergeben sich diverse Angriffsflächen, wie Use-After-Free-Schwachstellen, Pufferüberläufe und Typkonflikte, die für Remote Code Execution ausgenutzt werden können. Konkret konnte beispielsweise die Schwachstelle CVE-2025-24252, ein Use-After-Free-Fehler, verwendet werden, um fehlerhaften Speicherzugriff und damit eine komplette Übernahme von MacOS-Geräten zu erlangen.
In Kombination mit weiteren Lücken wie CVE-2025-24206, die eine Umgehung der Nutzerinteraktion ermöglicht, wächst die Gefahr beträchtlich, denn Angreifer können so ohne jegliches Zutun des Anwenders Schadcode ausführen. Besonders alarmierend ist die wormbare Natur dieser Schwachstelle, die es erlaubt, Malware über ein Netzwerk hinweg auf weitere AirPlay-fähige Geräte zu übertragen. Ein kompromittiertes Gerät könnte sich beispielsweise in einem öffentlichen WLAN mit dem Angreifer verbinden und anschließend beim Wechsel in das Firmennetzwerk eine automatische Verbreitung der Schadsoftware auslösen. Die Zahlen sprechen für sich: Über 2,35 Milliarden aktive Apple-Geräte weltweit, darunter Macs, iPhones, iPads, AppleTVs und CarPlay-fähige Fahrzeuge, sind potenziell betroffen. Hinzu kommen zahlreiche Drittanbietergeräte, die mittels AirPlay-SDK die gleiche Technologie nutzen und somit ebenfalls angreifbar sind.
Neben MacOS sind auch CarPlay-Systeme in Fahrzeugen betroffen. Hier können Angreifer über Bluetooth oder WLAN-Schnittstellen eine RCE auslösen, beispielsweise um Fahrer abzulenken, Gespräche abzuhören oder Fahrzeuge zu orten. Auch traditionell nicht drahtlose CarPlay-Modelle sind über USB-Anschlüsse angreifbar. Diese Szenarien verdeutlichen, dass die Sicherheitslücken nicht nur auf klassische Computer oder Mobilgeräte beschränkt sind, sondern auch sicherheitskritische Umgebungen im Automobilbereich betreffen. Die AirBorne-Schwachstellen führen aber nicht nur zu RCE.
Weitere mögliche Angriffe umfassen das Auslesen sensibler Dateien lokal auf dem Gerät, das Offenlegen vertraulicher Informationen über das Netzwerk sowie Denial-of-Service-Angriffe, die die Verfügbarkeit von Diensten beeinträchtigen können. Manche Angriffsmethoden ermöglichen es, wichtige Sicherheitseinstellungen wie Access Control Lists (ACL) zu umgehen, die eigentlich den Zugriff auf AirPlay-Verbindungen steuern sollen. Zusammen mit der Möglichkeit, Nutzerinteraktionen zu umgehen, entsteht ein Angriffsvektor, der aufgrund seiner Komplexität und Automatisierungsfähigkeit besonders kritisch ist. Die Forscher von Oligo Security identifizierten 23 Schwachstellen, von denen 17 offiziell mit CVEs versehen wurden. Die Zusammenarbeit mit Apple führte dazu, dass entsprechende Sicherheitsupdates entwickelt und veröffentlicht wurden, um die betroffenen Geräte zu schützen.
Apple hat mehrere Software-Versionen bereitgestellt, die diese kritischen Bugs beheben. Dennoch hängt der Schutz der Nutzer stark davon ab, dass sowohl Endanwender als auch Organisationen diese Updates umgehend installieren. Aus Perspektive von IT-Sicherheitsverantwortlichen in Unternehmen ergeben sich daraus klare Handlungsaufforderungen. Erstens sollte der AirPlay-Empfänger auf Geräten deaktiviert werden, sofern diese Funktion nicht benötigt wird. Zweitens empfiehlt es sich, Netzwerkbedingungen so einzustellen, dass AirPlay-Kommunikation auf vertrauenswürdige Geräte beschränkt wird – etwa durch Firewall-Regeln, die den Port 7000 kontrollieren.
Drittens sollte die AirPlay-Einstellung „Erlaube AirPlay für“ möglichst restriktiv auf „aktueller Benutzer“ gesetzt sein, um unautorisierten Zugriff weiter zu erschweren. Das Verständnis der technischen Ursachen für die Schwachstellen zeigt, wie wichtig eine saubere und robuste Implementierung von Protokollen im Bereich der IoT- und Apple-Produkte ist. Fehlerhafte Speichermanagement-Operationen, wie sie bei Use-After-Free oder Pufferüberläufen auftreten, sind typische Probleme, die längst ausgereifte Software vermeiden sollten. Doch proprietäre Protokolle mit komplexen Datenformaten wie plists stellen auch erfahrene Entwickler vor Herausforderungen. Gerade in einer vernetzten Welt mit zunehmender Anzahl an Geräten und heterogenen Einsatzszenarien werden solche Fehler irreparable Risiken.
Aufregend aber gleichermaßen erschreckend ist, dass Angriffe mit AirBorne weder Benutzerinteraktion erfordern noch durch einfache Benutzerentscheidungen verhindert werden können. Die Möglichkeit, Zero-Click-Exploits zu starten, macht die Ausnutzung sehr effektiv für Angreifer. Die Tatsache, dass AirPlay eine Funktion ist, die viele Anwender oft unbewusst aktiviert lassen oder aus Bequemlichkeit auf permissivere Sicherheitsstufen setzen, erhöht die Gefährdung. Die Folgen einer erfolgreichen Kompromittierung reichen von Datenschutzverletzungen über Industriespionage bis hin zu Ransomware-Attacken und Supply-Chain-Angriffen. Insbesondere in Unternehmensnetzwerken mit zahlreichen verbundenen Geräten könnte eine unentdeckte AirBorne-Infektion massive Auswirkungen entfalten.
Dabei kann der Angriff über öffentlich zugängliche oder weniger geschützte Netzwerke starten und sich dann in geschlossenen Firmennetzen ausbreiten. Zusammenfassend zeigt die Forschungsarbeit zu AirBorne eine kritische Schwachstelle im Apple-Universum und der IoT-Landschaft auf, die von Nutzern und Unternehmen gleichermaßen ernst genommen werden muss. Die Kombination aus einfacher Ausnutzung, fehlender Nutzerinteraktion und der umfassenden Verbreitung der AirPlay-Technologie macht das Thema zu einer Priorität für die IT-Sicherheit im Jahr 2025. Anwender sollten dringend alle verfügbaren Software-Updates einspielen, AirPlay nur bei Bedarf aktivieren und sich der möglichen Risiken bewusst sein. Zukünftige Untersuchungen könnten weitere Schwachstellen im AirPlay-Protokoll und verwandten Systemen aufdecken, einschließlich detaillierterer Analysen anderer Angriffsszenarien wie MITM oder sensibler Datenlecks.
Die Entwicklungen rund um AirBorne verdeutlichen die Notwendigkeit einer kontinuierlichen Sicherheitsforschung und einer engen Zusammenarbeit zwischen Herstellern, Forschern und Anwendern, um die wachsenden Herausforderungen durch Cyberbedrohungen erfolgreich zu bewältigen.
