Due gravi vulnerabilità hanno recentemente messo in discussione la sicurezza di Apple CarPlay e AirPlay, due tecnologie molto diffuse per l’integrazione tra dispositivi Apple e sistemi esterni. La scoperta arriva da Oligo Security, azienda specializzata in cybersicurezza, che ha collaborato direttamente con Apple per chiudere le falle più urgenti. Tuttavia, il problema potrebbe interessare ancora milioni di dispositivi non Apple.
I rischi legati a dispositivi di terze parti non aggiornati
Le vulnerabilità, identificate dai codici CVE-2025-24252 e CVE-2025-24132, sono già state corrette da Apple attraverso un aggiornamento software. Il vero pericolo, però, riguarda tutti i dispositivi compatibili con AirPlay e CarPlay che non sono prodotti direttamente da Apple: si tratta perlopiù di speaker smart, TV, autoradio e sistemi di infotainment che usano questi protocolli, spesso senza ricevere aggiornamenti di sicurezza. Secondo Oligo, questi dispositivi restano esposti ad attacchi senza alcuna interazione da parte dell’utente.
Il metodo usato dagli hacker si chiama hijacking: consiste nel deviare le comunicazioni tra due dispositivi, come lo smartphone e l’autoradio, oppure tra il telefono e uno speaker domestico. In alcuni casi, i malintenzionati possono addirittura attivare da remoto il microfono di un dispositivo e ascoltare ciò che accade nell’ambiente circostante, oppure modificare i contenuti in riproduzione a proprio piacimento.
La connessione Wi-Fi è l’anello debole
Le vulnerabilità derivano dal fatto che AirPlay è un protocollo “aperto” e, secondo Oligo, molti server AirPlay espongono comandi sensibili senza adeguata protezione. Essendo basato sulla connessione alla stessa rete locale, AirPlay è particolarmente vulnerabile se i dispositivi sono collegati a reti Wi-Fi pubbliche e poco sicure, come quelle di hotel, bar o aeroporti.
Per quanto riguarda Apple CarPlay, il rischio è forse più concreto: le auto si spostano e si collegano a reti sempre diverse. Per questo è importante proteggere la rete Wi-Fi dell’auto con una password complessa, riducendo al minimo le possibilità di accesso non autorizzato.
Questi incidenti dimostrano ancora una volta quanto sia importante non solo aggiornare i dispositivi, ma anche evitare di connettersi a reti insicure.
