AirDrop i Quick Share: sis vulnerabilitats en els protocols de transferència de proximitat que exposen més de 5.000 milions de dispositius a atacs des de 30 metres sense interacció de l'usuari
Eric Serrano Bustos
Nota per a Eric: traducció tècnica correcta, es recomana repàs natiu abans de publicar donat el registre tècnic-empresarial del contingut.
A finals de juny de 2026, investigadors del CISPA Helmholtz Center for Information Security, Arash Ale Ebrahim i Nils Ole Tippenhauer, van publicar els resultats d’un estudi sistemàtic dels protocols de transferència de proximitat d’Apple i Google. El treball, presentat al taller WOOT 2026, va identificar sis vulnerabilitats en AirDrop (Apple) i en Quick Share (Google i Samsung) que en conjunt exposen més de 5.000 milions de dispositius amb iOS, macOS, Android i Windows a atacs executats des de la proximitat sense fils. Els tres errors d’AirDrop permeten a un atacant no autenticat, amb un portàtil i a menys de 30 metres, tombar de forma repetida el servei de transferència d’Apple i tots els serveis de continuïtat associats: AirPlay, Handoff, Universal Clipboard, Continuity Camera i NameDrop.
Què se sap de les sis vulnerabilitats en AirDrop i Quick Share?
Investigació: CISPA va realitzar enginyeria inversa completa dels protocols de capa d’aplicació d’AirDrop i Quick Share, va construir un fuzzer propi anomenat AIRFUZZ i va completar anàlisi manual dirigida sobre Quick Share a Android i Windows.
Abast: més de 2.200 milions de dispositius Apple actius i més de 3.000 milions d’Android. Total: més de 5.000 milions de dispositius a macOS, iOS, Android i Windows.
V1 — Crash per ruta HTTP no reconeguda a AirDrop (zero-click): una sola petició POST a una ruta no reconeguda tanca de forma immediata sharingd, paralitzant AirDrop, AirPlay, Handoff, Universal Clipboard, Continuity Camera i NameDrop.
V2 — Stack overflow per XML plist niuat a AirDrop (zero-click): unes 180-200 estructures dict niuades en una petició Discover esgoten la pila i provoquen un crash que afecta Foundation.framework a macOS, iOS, watchOS, tvOS i visionOS.
V3 — Null-pointer dereference a HTTP/1.1 de Network.framework (AirDrop): una petició HTTP amb framing malformat força el parser a un estat inconsistent i provoca un crash del daemon.
V4 i V5 — Bypass d’autenticació UKEY2 a Quick Share Android (Samsung): alguns frames es processen abans de completar el handshake UKEY2. A més, certs frames de control s’accepten en text pla després de UKEY2. Samsung va transferir ambdues vulnerabilitats a Google.
V6 — Use-after-free a Quick Share per a Windows (Google): una condició de carrera provoca un use-after-free. Google ha reconegut el problema, ha pagat una recompensa i té una correcció disponible.
Estat de pedacos: Apple ha pedacat V1. V2 i V3 segueixen en correcció coordinada. Google té fix per a V6. V4 i V5 segueixen sota investigació. Sense explotació activa confirmada.
Per què els entorns corporatius són l’escenari més exposat
Oficines, sales de reunió i espais de coworking concentren desenes de dispositius Apple a menys de 30 metres. En entorns densament poblats, un únic atacant pot arribar simultàniament a centenars de dispositius.
Els serveis que cauen no són només AirDrop. V1 paralitza també AirPlay, Handoff, Universal Clipboard i Continuity Camera.
Molts dispositius corporatius tenen AirDrop en mode “Tots” sense que ningú ho hagi configurat així deliberadament.
Com funcionen els atacs: de la petició malformada al crash en cadena
L’atacant identifica dispositius Apple amb AirDrop actiu des de Wi-Fi i AWDL.
Envia una sola petició HTTP POST amb una URI no reconeguda.
El router Swift de sharingd crida fatalError i tanca el procés.
Tots els serveis de continuïtat queden inoperatius simultàniament.
L’atacant pot repetir la petició per mantenir els serveis caiguts de forma contínua.
Lliçons clau i mitigació immediata per a empreses
Mitigació immediata (sense esperar pedacos):
Establir AirDrop en “Només contactes” a tota la flota de dispositius Apple corporatius. Elimina la superfície d’atac de V1, V2 i V3 sense perdre funcionalitat entre companys.
A Quick Share per a Android: configurar la visibilitat en “Només contactes” o desactivar quan no s’usti activament.
A Quick Share per a Windows: actualitzar el client a la versió més recent.
Per a responsables d’IT i seguretat:
Establir una política MDM explícita sobre el mode de visibilitat d’AirDrop en tots els dispositius Apple gestionats.
Auditar l’estat actual d’AirDrop al parc de dispositius gestionats amb eines com Jamf o Microsoft Intune.
Incloure AirDrop i Quick Share a la política d’ús de dispositius corporatius.
La ciberseguretat com a prioritat estratègica
Les vulnerabilitats d’AirDrop i Quick Share recorden que la superfície d’atac corporativa no es limita al perímetre de xarxa: inclou tots els dispositius que els empleats porten amb ells. Un atac a un iPhone amb AirDrop en mode “Tots” en una conferència, en un client o en un aeroport no requereix phishing ni credencials robades. Només requereix proximitat física.
Apolo Cybersecurity: revisió de la postura de seguretat de dispositius mòbils i polítiques MDM
A Apolo Cybersecurity ajudem organitzacions a revisar i reforçar la seguretat del seu parc de dispositius mòbils corporatius: auditoria de l’estat de configuració d’AirDrop i Quick Share a la flota gestionada, disseny de polítiques MDM, avaluació de l’exposició en entorns d’alt risc i actualització de les polítiques d’ús de dispositius corporatius.