网络安全研究人员近期披露了一组名为AirBorne的安全漏洞,这些漏洞使苹果公司(Apple)的AirPlay和CarPlay技术面临严重威胁。数据显示,全球数千万台支持该协议的设备可能暴露于黑客攻击之下——部分情况下攻击者甚至不需要用户密码即可实施入侵。
开放设计成安全隐患
根据网络安全公司Oligo发布的报告,漏洞编号为CVE-2025-24252和CVE-2025-24132的两个高危漏洞可引发“零点击”蠕虫式攻击。攻击者无需用户任何操作,就能通过同一Wi-Fi网络劫持第三方智能音箱、电视、机顶盒等支持AirPlay功能的设备。
作为苹果生态的核心无线传输技术,AirPlay支持跨设备视频、音频流媒体传输,而CarPlay则为车载系统提供iPhone连接功能。这两项技术不仅用于苹果自有设备,更被集成到索尼(Sony)、三星(Samsung)等品牌的数千万设备中。
Oligo指出,AirPlay为简化设备配对采用的开放式架构成为主要漏洞来源。研究人员发现,多数AirPlay服务器缺乏有效访问控制机制,导致攻击者可远程接管设备。被攻陷的设备可能沦为窃听工具,或被用于传播勒索软件、植入监控程序。部分案例中,黑客甚至能通过智能音箱麦克风获取实时对话。
公共Wi-Fi风险真实存在但有限
尽管苹果已通过系统更新修复其设备漏洞,但第三方厂商的更新进度难以统一。Oligo警告称,大量旧款设备可能因无法获得补丁而长期处于风险状态。
攻击者需接入同一Wi-Fi网络才能利用AirBorne漏洞,这使得机场、酒店等公共场所的开放网络成为潜在攻击渠道。不过由于智能家居设备通常固定于家庭环境,实际受威胁范围相对有限。
车载系统同样面临威胁
搭载CarPlay的车载娱乐系统也存在安全隐患。若车辆使用默认或弱密码的Wi-Fi网络,附近攻击者可能通过远程代码执行攻击侵入系统。部分厂商采用蓝牙IAP2协议传输Wi-Fi凭证的设计,使攻击者可通过观察配对过程截获PIN码。
研究显示,即便采用有线连接的CarPlay系统也存在风险。攻击者可能通过USB接口实施物理入侵,进而窃听车内对话、追踪车辆位置或篡改导航信息。
防护建议
用户应采取以下防护措施:
为第三方AirPlay设备安装最新固件更新
确保设备仅接入加密的家庭Wi-Fi网络,避免连接公共无线网络
停用不常使用设备的AirPlay功能
更换已停止安全支持的老旧智能设备
为车载系统设置复杂Wi-Fi密码,禁用不必要的无线连接功能
通过加强家庭网络防护和及时更新设备,用户可有效阻断绝大多数AirBorne攻击路径。对于企业用户,建议在网络隔离环境中部署支持AirPlay的设备,并定期进行安全审计。
