Descubren 6 vulnerabilidades críticas en AirDrop y Quick Share: más de 5.000 millones de dispositivos en riesgo
Investigadores del CISPA Helmholtz Center han identificado seis fallos de seguridad en los sistemas de compartición de archivos de Apple y Google/Samsung, permitiendo bloqueos de servicio, elusión de autenticación y potencial ejecución de código.
El alcance del problema
Un equipo de investigadores de seguridad liderado por Arash Ale Ebrahim y Nils Ole Tippenhauer ha realizado el primer análisis comparativo a nivel de aplicación de AirDrop (Apple) y Quick Share (Google/Samsung), descubriendo seis vulnerabilidades que afectan a los ecosistemas de más de cinco mil millones de dispositivos activos en todo el mundo.
A diferencia de ataques remotos tradicionales, estas vulnerabilidades requieren que el atacante esté físicamente cerca —entre 10 y 30 metros— o conectado a la misma red Wi-Fi local. Sin embargo, en entornos concurridos como aeropuertos, trenes o conferencias, un solo atacante puede comprometer múltiples dispositivos simultáneamente.
Tres fallos en AirDrop: el daemon sharingd en el punto de mira
Las tres vulnerabilidades descubiertas en AirDrop comparten un denominador común: provocan el colapso del servicio sharingd, el daemon de fondo de macOS e iOS que no solo gestiona AirDrop, sino también AirPlay, Handoff, Portapapeles Universal, Continuity Camera y NameDrop. Un único ataque bloquea toda esta suite de funcionalidades.
El fallo más simple explota un fatalError en el código de enrutamiento de solicitudes web. Un atacante envía una petición malformada a un dispositivo con AirDrop configurado en «Todos», y el servicio se detiene por completo. En un bucle de aproximadamente dos segundos, el ataque mantiene el servicio inoperativo indefinidamente. Durante las pruebas, ninguna transferencia legítima de AirDrop pudo completarse mientras el ataque estaba activo.
El segundo fallo reside en el framework Foundation de Apple: un desbordamiento de pila en el parser de XML property list sin límite de profundidad. Un archivo con unos 200 niveles de anidamiento es suficiente para agotar la pila del hilo y provocar el cierre del servicio. Este bug no se limita a AirDrop; cualquier aplicación de Apple que procese archivos XML de este tipo en macOS, iOS, watchOS, tvOS o visionOS es vulnerable.
El tercer fallo es una desreferencia de puntero nulo en el parser HTTP del sistema, alcanzable mediante cabeceras de longitud y chunk malformadas.
Quick Share: elusión de autenticación y corrupción de memoria
En el lado de Android y Windows, los investigadores encontraron tres vulnerabilidades adicionales en Quick Share:
Elusión de sesión en Samsung: Dos fallos en la implementación de Samsung permiten a un atacante saltarse el handshake de autenticación. Uno de ellos permite que un dispositivo no verificado comience a controlar la conexión antes de que se establezca el cifrado UKEY2. El otro permite que ciertos mensajes de control pasen sin cifrar incluso después de establecida la sesión segura. Un atacante en la misma red Wi-Fi puede forzar una conexión al estado «aceptado», mantenerla activa o hacer que el servidor devuelva direcciones IP y puertos controlados por el atacante.
Use-after-free en Windows: El fallo más grave del conjunto reside en el cliente Quick Share de Google para Windows. Se trata de una condición de carrera (use-after-free) que ocurre cuando dos conexiones colisionan en el mismo identificador de endpoint y nonce, liberando un objeto que otro hilo intenta utilizar posteriormente. Este tipo de bug puede potencialmente conducir a la ejecución de código arbitrario, especialmente porque la aplicación tiene desactivada la protección Control Flow Guard (CFG) de Windows.
Curiosamente, el código fuente de la aplicación contenía un comentario que advertía sobre este problema exacto: «We had a bug here, caused by a race with EncryptionRunner». El parche aplicado para solucionarlo terminó reintroduciendo la misma clase de vulnerabilidad.
Estado de los parches y mitigaciones
- Apple: Ha parcheado una de las tres vulnerabilidades de AirDrop y le ha asignado un CVE, aunque el aviso de seguridad aún no es público. Las otras dos permanecen en proceso de divulgación coordinada. Se recomienda instalar iOS/macOS 26.5.2 (publicado el 29 de junio) y mantener AirDrop en Solo contactos o desactivado, evitando el modo Todos.
- Google: Ha pagado una recompensa por el fallo de Windows y ha implementado una corrección de código, aunque el CVE aún está pendiente. Se recomienda actualizar la aplicación Quick Share para Windows.
- Samsung: Los dos fallos de elusión de autenticación fueron reportados a Google y permanecen bajo investigación.
Un patrón arquitectónico común
Lo más revelador del estudio es que dos ecosistemas con implementaciones completamente diferentes —Apple y Google/Samsung— han llegado a clases de vulnerabilidades similares. Según los propios investigadores, la causa raíz compartida es que las verificaciones de seguridad no se aplican en un único punto de control, sino que dependen de que cada manejador de mensajes individual implemente correctamente sus propias comprobaciones de autenticación y cifrado.
Ale Ebrahim señala que esto refleja «desafíos de ingeniería comunes en protocolos de proximidad: estos servicios están diseñados para ofrecer una experiencia de usuario fluida, lo que significa que demonios privilegiados deben procesar entradas complejas controladas por atacantes antes de que se complete la autenticación o la aprobación del usuario».
Recomendaciones para usuarios y organizaciones
- Configurar AirDrop en Solo contactos o desactivarlo cuando no se use.
- Mantener Quick Share fuera del modo Todos cuando no se esté recibiendo archivos activamente.
- Actualizar inmediatamente iOS, macOS y la aplicación Quick Share para Windows.
- En entornos corporativos, considerar la desactivación de estas funciones mediante MDM (Mobile Device Management) para dispositivos que manejen información sensible.
