AirPlay Exploit: Πώς μπορούσαν να παραβιαστούν Apple συσκευές μέσω Wi-Fi

Σε μια αποκάλυψη που προκαλεί ανησυχία, η ομάδα ερευνητών της Zero Day Initiative της Trend Micro παρουσίασε ένα σοβαρό κενό ασφαλείας στο πρωτόκολλο Apple Wireless Direct Link (AWDL), το οποίο χρησιμοποιείται ευρέως σε λειτουργίες όπως το AirPlay, το AirDrop και το Sidecar. Η ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση αυθαίρετου κώδικα μέσω Wi-Fi, χωρίς κανένα interaction από τον χρήστη και χωρίς φυσική πρόσβαση στη συσκευή.

Η παρουσίαση έγινε στο συνέδριο Pwn2Own 2024 στο Βανκούβερ και συνοδεύτηκε από την επιτυχή εκμετάλλευση της ευπάθειας σε iPhone 14, ενώ το ίδιο πρόβλημα φαίνεται να επηρεάζει και πλήθος άλλων συσκευών Apple, περιλαμβανομένων iPad, Apple Watch και υπολογιστών Mac με υποστήριξη AWDL. Ο μηχανισμός επίθεσης, που περιγράφηκε ως "0-click", σημαίνει ότι δεν απαιτείται καμία ενέργεια από τον κάτοχο της συσκευής — απλώς η σύνδεσή της σε Wi-Fi είναι αρκετή για να την καταστήσει ευάλωτη.

Η Apple έχει αναγνωρίσει το ζήτημα και κυκλοφόρησε ήδη διορθώσεις στο πλαίσιο των ενημερώσεων ασφαλείας του Απριλίου 2025 για το iOS, το iPadOS, το macOS και το watchOS. Παρόλα αυτά, ερευνητές προειδοποιούν ότι πολλές συσκευές παραμένουν σε παλαιότερες εκδόσεις, εκθέτοντας εκατομμύρια χρήστες στον κίνδυνο.

Αξιοσημείωτο είναι πως η εκμετάλλευση του κενού από τους ερευνητές δεν απαιτούσε προηγούμενη σύζευξη συσκευών, ούτε ενεργοποιημένες λειτουργίες όπως το AirDrop ή το Sidecar. Αρκούσε η ενεργοποίηση της AWDL στο παρασκήνιο — κάτι που συμβαίνει ακόμα και όταν ο χρήστης δεν το γνωρίζει.

Η Zero Day Initiative χαρακτήρισε το exploit ως ένα από τα πιο εντυπωσιακά του φετινού διαγωνισμού, και του απονεμήθηκε το υψηλότερο χρηματικό έπαθλο: $200.000. Η Apple, από πλευράς της, δεν έχει ανακοινώσει περισσότερες λεπτομέρειες, πέρα από τη δημοσίευση του σχετικού CVE-2024-23296.

Εν Κατακλείδι

Το περιστατικό αυτό υπογραμμίζει την ανάγκη για συστηματικές ενημερώσεις λογισμικού, ακόμη και σε οικοσυστήματα όπως της Apple που φημίζονται για την ασφάλειά τους. Οι "zero-click" επιθέσεις χωρίς φυσική πρόσβαση αποτελούν τον μεγαλύτερο κίνδυνο για τη σύγχρονη ψηφιακή ιδιωτικότητα — και το γεγονός ότι βασίζονται σε βασικές λειτουργίες του συστήματος καθιστά τη θωράκιση ακόμη πιο κρίσιμη.