Dos investigadores han descubierto seis fallos de seguridad en AirDrop y Quick Share, funciones inalámbricas que envían archivos entre dispositivos cercanos sin el uso de cables o redes compartidas.
Un atacante dentro del alcance inalámbrico puede bloquear un servicio compartido en una Mac o iPhone que esté configurado para escuchar a cualquier persona, con sólo una computadora portátil y sin conexión previa y sin toques ni indicaciones.
La misma investigación descubrió una falla en Quick Share que podría eludir las comprobaciones de sesión de Samsung y provocar fallas explotables en las aplicaciones de Windows de Google.
Estas dos funciones se ejecutan dentro de un ecosistema de más de 5 mil millones de dispositivos Apple y Android activos, pero los errores probados afectaron implementaciones y versiones específicas.
El estudio, compilado en un nuevo artículo de investigación por Arash Ale Ebrahim y Nils Ole Tippenhauer del Centro CISPA Helmholtz para la Seguridad de la Información, es el primer intento de separar ambas pilas una al lado de la otra por encima de la capa de radio, donde el descubrimiento es el procesamiento de sesiones, el análisis y las decisiones de confianza.
La solución ya ha comenzado. Apple corrigió uno de los tres errores de AirDrop y asignó un CVE, pero este aviso aún no se ha publicado. Los dos restantes aún se están ultimando y divulgando. Google pagó una recompensa por la falla de Windows y completó una corrección del código, pero el CVE aún está pendiente.
Los dos errores de Samsung han sido entregados a Google y actualmente están bajo investigación. Al momento de escribir este artículo, no ha surgido ningún informe público sobre la explotación de estas fallas.
Tres formas de superar el uso compartido de Apple
Los tres fallos de AirDrop terminan en el mismo accidente. Sharingd, el servicio en segundo plano en macOS e iOS que maneja AirDrop, no funciona. El problema es que este servicio también ejecuta AirPlay, Handoff, Universal Clipboard, Continuity Camera y NameDrop, por lo que una falla puede arruinar todo el conjunto.
El más simple de los tres métodos implica enviar una única solicitud maliciosa a dispositivos configurados para recibir AirDrop de «Todos». Estos mensajes de fallo se envían aproximadamente una vez cada dos segundos en un bucle y permanecen inactivos mientras el atacante continúe. En las pruebas de los investigadores, ninguna transferencia AirDrop legítima tuvo éxito mientras el ataque estaba en curso.
Dos de los tres son más que errores de AirDrop, ya que existen dentro del marco de intercambio de Apple. El más extendido es un desbordamiento de pila en el analizador de listas de propiedades XML de Foundation, causado por un pequeño archivo que contiene aproximadamente 200 capas anidadas.
Las aplicaciones de Apple que abren archivos de ese tipo que no son de confianza probablemente accederán a la misma ruta del analizador en macOS, iOS, watchOS, tvOS y visionOS. Los investigadores reprodujeron el bloqueo de AirDrop en macOS 15.7.4, macOS 26.3, iOS 18.x y iOS 26.3. Las versiones anteriores de iOS 16 no se vieron afectadas.
Comparte rápidamente errores y correcciones rotas
En Android, dos fallas en Quick Share de Samsung permiten a un atacante eludir el protocolo de enlace que, de otro modo, bloquearía la sesión. Uno permite que los dispositivos no verificados comiencen a generar conexiones antes de que se configure el cifrado.
El otro permite que algunos mensajes de control pasen sin cifrar incluso después de que exista una sesión segura. Un atacante en la misma red Wi-Fi podría aprovechar esa brecha para forzar la conexión a un estado «aceptado», mantener la conexión u obligar al servidor a devolver los valores de IP y puerto especificados por el atacante. No se ha demostrado que ninguno de ellos robe archivos, pero ambos anulan la protección que promete su sistema.
Los investigadores los probaron en el Galaxy S23 Ultra y notaron que las versiones de Quick Share de otros fabricantes de Android deben verificarse por separado.
La falla más grave está en Quick Share de Google para Windows. Se trata de un error de memoria que surge cuando dos conexiones chocan en el momento adecuado, lo que hace que el programa utilice fragmentos de memoria que ya han sido descartados.
Este es el tipo de error que podría conducir a la ejecución de código de atacante, y los investigadores dicen que esta ruta es plausible porque una defensa de Windows llamada Control Flow Guard está desactivada dentro de la aplicación.
Vieron el fallo, pero no habían creado un exploit que funcionara. Google lo reconoció, pagó una recompensa y actualmente está trabajando para solucionarlo. CVE aún está pendiente.
Esta no es la primera vez que aparece Quick Share para Windows. SafeBreach informó 10 cadenas de ejecución de código con errores en 2024 (CVE-2024-38271 y CVE-2024-38272), que luego volvieron a eludir la solución de Google en 2025 (CVE-2024-10668). El nuevo uso después de la liberación agrega otra entrada al patrón para el mismo componente que se parchea y prueba nuevamente.
Un detalle conmovedor: en el código fuente del programa en sí, hay un comentario que reconoce que hubo un error anterior en ese lugar exacto y dice: «Hubo un error aquí debido a un conflicto con EncryptionRunner». Una solución escrita para solucionar este problema volvió a introducir el mismo tipo de defecto.
El riesgo es local, no remoto
Una limitación importante es el alcance. Estos son ataques locales, no ataques a todo Internet. El atacante debe estar a una distancia aproximada de 10 a 30 metros o en la misma red local.
Aunque no está tan extendido como un error remoto, un solo atacante en un lugar concurrido, como un aeropuerto, un tren o una conferencia, podría llegar a muchos dispositivos a la vez. Los investigadores probaron sólo su propio hardware y lanzaron la herramienta abiertamente para que otros equipos de seguridad pudieran reproducir los resultados.
En su Mac o iPhone, instale la última actualización de Apple (iOS y macOS 26.5.2 se envían el 29 de junio) y mantenga AirDrop configurado en Solo contactos o desactivado en lugar de Todos. Esta es la configuración requerida para estos defectos. Quick Share debe permanecer oculto para todos cuando no esté recibiendo archivos activamente y actualice su aplicación de Windows ahora que se ha aplicado la solución de Google.
Dos sistemas construidos de forma independiente fracasaron de manera similar. El código de la red falló y se incorporaron controles de seguridad en los manejadores de mensajes individuales en lugar de aplicarse desde el principio. También llega en un momento incómodo.
La interoperabilidad AirDrop de Google para Quick Share ya se está implementando en los principales teléfonos inteligentes Android y solo funciona si su iPhone está configurado para recibir de «Todos». Esta es la configuración exacta que causa el error de bloqueo de AirDrop.
Source link
