Pesquisadores expõem seis falhas no AirDrop e Quick Share que afetam mais de 5 bilhões de dispositivos Apple, Google e Samsung

Pesquisadores do CISPA Helmholtz Center for Information Security descobriram seis vulnerabilidades nos protocolos AirDrop (Apple) e Quick Share (Google/Samsung), afetando mais de 5 bilhões de dispositivos ativos rodando macOS, iOS, Android e Windows. As falhas — três crashes no AirDrop e três bypasses lógicos no Quick Share — podem ser exploradas por atacantes de proximidade sem qualquer pareamento, autenticação ou interação do usuário. Apple, Google e Samsung já começaram a corrigir, mas o trabalho expõe um padrão de risco comum a qualquer serviço de compartilhamento por proximidade.

O que aconteceu

AirDrop e Quick Share são funções aparentemente triviais: você aproxima dois aparelhos, escolhe o destinatário e envia uma foto. Por baixo dessa simplicidade, porém, rodam daemons privilegiados que processam, sem qualquer pareamento prévio, dados serializados enviados por dispositivos completamente desconhecidos. É essa superfície de ataque — silenciosa, sem prompt para o usuário — que os pesquisadores Arash Ale Ebrahim e Nils Ole Tippenhauer auditaram pela primeira vez de forma comparativa entre as duas plataformas.

O trabalho envolveu engenharia reversa dos protocolos de camada de aplicação, construção de um fuzzer customizado para o AirDrop e análise direcionada do Quick Share usando um Galaxy S23 Ultra e o cliente Windows do Google. O resultado: seis bugs, três em cada plataforma, todos exploráveis por um atacante a poucos metros de distância (de 10 a 30 metros, dependendo do hardware Wi-Fi).

O ponto comum é grave: nos aparelhos Apple configurados para “Todos” durante 10 minutos ou “Contatos” (com truques), as primeiras fases do protocolo respondem antes de qualquer prompt aparecer. No Quick Share, dispositivos visíveis respondem por padrão sem confirmação. Em outras palavras: o stack de processamento já está rodando antes de o usuário sequer ser consultado.

Detalhes técnicos das falhas

No AirDrop, o foco foi o daemon sharingd no macOS e iOS — o mesmo processo que também gerencia AirPlay, Handoff, Universal Clipboard e Continuity Camera. Como tudo compartilha o mesmo daemon, um crash em qualquer subsistema derruba o restante. Para alcançar caminhos profundos, o fuzzer customizado mutava o conteúdo do arquivo bruto antes da compressão, elevando a taxa de aceitação de inputs de uma fração mínima para mais de 90%.

Os três achados no AirDrop terminam em crash: (1) um fatalError Swift no roteamento HTTP que derruba o daemon a uma requisição em path desconhecido; (2) um plist XML com mais de 200 elementos aninhados que estoura a pilha — atingindo qualquer app Apple que faça parse de plists não confiáveis, em macOS, iOS, watchOS, tvOS e visionOS; (3) um null pointer dereference no parser HTTP do sistema, atingível com headers de length e chunk malformados.

No Quick Share, os bugs são de lógica de protocolo, mais perigosos por consequência. O primeiro permite ao atacante avançar a máquina de estado da conexão antes da autenticação: a implementação Samsung despacha frames de aplicação logo após a connection request inicial, antes mesmo do key exchange UKEY2 que deveria gatear tudo. O segundo: após a finalização do key exchange, três dos sete tipos de frame pós-handshake ainda são processados quando enviados em texto puro, sem criptografia. O terceiro é uma condição de corrida no cliente Windows que abre uma janela para crash; o Google reconheceu o bug com bounty.

“Eu não acho que essa sobreposição seja exclusiva de Apple ou Google. Ela reflete desafios de engenharia comuns em protocolos baseados em proximidade. Esses serviços são projetados para entregar uma experiência fluida — o que significa daemons privilegiados precisam processar inputs complexos controlados pelo atacante antes da autenticação ou aprovação do usuário”, disse Arash Ale Ebrahim.

Quem está em risco

A escala dos protocolos é o que torna o resultado relevante para qualquer profissional de segurança. Mais de 5 bilhões de dispositivos ativos rodam um dos dois stacks. Os cenários de exposição típicos:

• Locais públicos de alta densidade — aeroportos, conferências, transporte público, eventos esportivos — onde um único atacante alcança dezenas de aparelhos simultaneamente
• Executivos e jornalistas viajando, alvos clássicos de operações de proximidade direcionadas
• Ambientes corporativos que dependem de AirDrop ou Quick Share como canal informal de transferência, sem políticas de MDM restringindo o serviço
• Aparelhos Apple configurados em “Receber de Todos” por janelas longas, comum em escritórios criativos e de produção
• Implementações Samsung do Quick Share que ainda não receberam o patch — fragmentadas pela cadeia OEM/operadora

Análise

Esse estudo confirma um padrão que já vimos em Bluetooth (BlueBorne, BLESA, BrakTooth), em UWB e até nos primeiros bugs do próprio AirDrop divulgados em 2021: serviços de proximidade tendem a manter daemons sempre ativos, com permissões altas, processando dados não autenticados em formatos complexos. Quando o objetivo do produto é “funcionar sem fricção”, a fricção que sobra é geralmente removida de onde menos deveria — a checagem de autenticação.

A escolha arquitetural revelada na pesquisa é especialmente didática. O daemon Apple serializa requisições em um único lock, o que reduz race conditions, mas deixa código de “confiabilidade” como o fatalError exposto. Já o stack Google/Samsung trabalha com várias threads, e foi exatamente a concorrência que produziu a race no Windows. Já os bypasses do Samsung têm uma raiz comum: autenticação e criptografia conferidas dentro de cada frame handler individual — qualquer handler que esqueça a checagem vira buraco.

Há também um recado para fabricantes e desenvolvedores de aplicativos: parsers de formatos serializados — XML plist, protobuf, formatos próprios — continuam sendo vetores subestimados. O bug do XML que afeta macOS, iOS, watchOS, tvOS e visionOS mostra como uma decisão tomada no kernel da Foundation reverbera em todo o ecossistema do fornecedor.

Recomendações práticas

• Atualizar iOS, iPadOS, macOS, watchOS, tvOS e visionOS para as versões mais recentes assim que disponíveis em sua região
• Verificar atualizações OEM no Android, especialmente em aparelhos Samsung; em ambientes corporativos, acelerar o ciclo de patch via MDM
• Configurar AirDrop para “Apenas Contatos” ou desativar quando em locais públicos; o iOS já reverte automaticamente para “Apenas Contatos” após 10 minutos em “Todos”
• No Quick Share, ajustar visibilidade para “Apenas seus dispositivos” ou “Contatos” e desativar quando não estiver em uso ativo
• Em frotas corporativas, considerar políticas que bloqueiem AirDrop/Quick Share em dispositivos que processam dados sensíveis (executivos, advogados, equipes de M&A)
• Treinar usuários a desconfiar de prompts inesperados de envio de arquivo em locais públicos — mesmo um simples pedido pode ser pretexto de reconhecimento
• Equipes de blue team: monitorar logs de daemons sharingd, NearbyShare e equivalentes em busca de crashes recorrentes, que podem indicar tentativas de exploração

Fonte: Help Net Security