Wes Davis é um editor de fim de semana que cobre as últimas novidades em tecnologia e entretenimento. Ele escreve notícias, análises e mais como jornalista de tecnologia desde 2020.
A empresa de cibersegurança Oligo detalhou um conjunto de vulnerabilidades que seus pesquisadores encontraram no protocolo AirPlay da Apple e no kit de desenvolvimento de software que podem servir como um ponto de entrada para infectar outros dispositivos na sua rede, relata a Wired.
Os pesquisadores da Oligo se referem às vulnerabilidades e ataques que elas possibilitam como “AirBorne”. De acordo com a Oligo, dois dos bugs que encontrou são “wormable” e poderiam permitir que atacantes assumissem o controle de um dispositivo AirPlay e espalhassem malware por “qualquer rede local à qual o dispositivo infectado se conecte”. Dito isso, eles precisariam já estar na mesma rede que o dispositivo para realizar o ataque.
Outros possíveis resultados de um ataque incluem hackers executando código remotamente em seus dispositivos (também chamado de ataque RCE), acessando arquivos locais e informações sensíveis, e realizando ataques de negação de serviço, diz a Oligo. Ela acrescenta que um atacante também poderia mostrar imagens em algo como a tela de um alto-falante inteligente — como demonstrado com um alto-falante Bose habilitado para AirPlay no vídeo abaixo — ou acessar o microfone do alto-falante para ouvir conversas próximas.
A Apple já corrigiu os bugs, mas ainda existem riscos via dispositivos AirPlay não fabricados pela Apple. E, embora haja uma chance relativamente baixa de um hacker estar na sua rede doméstica, a Wired aponta que ataques AirBorne também poderiam ocorrer se você se conectar a uma rede pública com um dispositivo que usa AirPlay — como um MacBook ou um iPhone — que não esteja atualizado com o software mais recente da Apple.
Os riscos se estendem também a dispositivos CarPlay. A Oligo descobriu que atacantes “poderiam executar um ataque RCE” via CarPlay sob certas condições, como conectar-se ao hotspot Wi-Fi de um carro que ainda usa uma “senha de hotspot Wi-Fi padrão, previsível ou conhecida”. Uma vez dentro, os hackers poderiam fazer coisas como mostrar imagens no sistema de infoentretenimento do carro ou rastrear a localização do carro, de acordo com a Oligo.
Como a Oligo aponta, existem dezenas de milhões de dispositivos AirPlay de terceiros, incluindo coisas como alto-falantes independentes, sistemas de home theater, TVs. A empresa também observa que o CarPlay “é amplamente utilizado e disponível em mais de 800 modelos de veículos”. De acordo com a Wired, a Apple criou patches para dispositivos de terceiros afetados também, mas um especialista em cibersegurança diz ao veículo que a Apple não controla diretamente o processo de correção de dispositivos de terceiros.
A Apple não respondeu imediatamente ao pedido de comentário da The Verge.