Segurança

Falhas no AirDrop e no Quick Share permitem que atacantes próximos causem travamentos e burlem verificações de segurança

Dois pesquisadores descobriram seis falhas de segurança no AirDrop da Apple e no Quick Share do Google e da Samsung, os recursos sem fio que enviam arquivos entre dispositivos próximos sem cabos nem rede compartilhada. Um atacante dentro do alcance do sinal, apenas com um notebook e sem conexão prévia, pode derrubar o serviço de compartilhamento em um Mac ou iPhone configurado para receber de qualquer pessoa, sem nenhuma interação do usuário. A mesma pesquisa encontrou falhas no Quick Share que burlam verificações de sessão da Samsung e provocam um travamento potencialmente explorável no aplicativo do Google para Windows.


Swati Khandelwal Terça - 30 de Junho de 2026 às 21:51
The Hacker News

Dois pesquisadores descobriram seis falhas de segurança no AirDrop e no Quick Share, os recursos sem fio que enviam arquivos entre dispositivos próximos sem cabos nem rede compartilhada.

Um atacante dentro do alcance do sinal, apenas com um notebook e sem conexão prévia, pode derrubar o serviço de compartilhamento em um Mac ou iPhone configurado para receber de qualquer pessoa, sem nenhum toque ou confirmação.

A mesma pesquisa encontrou falhas no Quick Share que burlam as verificações de sessão da Samsung e provocam um travamento potencialmente explorável no aplicativo do Google para Windows.

Os dois recursos rodam em um ecossistema de mais de cinco bilhões de dispositivos ativos da Apple e do Android, embora as vulnerabilidades testadas atinjam implementações e versões específicas.

O trabalho, apresentado em um novo artigo acadêmico por Arash Ale Ebrahim e Nils Ole Tippenhauer, do Centro Helmholtz CISPA de Segurança da Informação, é o primeiro a analisar as duas plataformas lado a lado, acima da camada de rádio, onde a descoberta de dispositivos se transforma em gerenciamento de sessão, interpretação de dados e decisões de confiança.

As correções já começaram. A Apple corrigiu uma das três falhas do AirDrop e atribuiu a ela um CVE (Identificador Comum de Vulnerabilidades e Exposições), embora o aviso ainda não tenha sido divulgado publicamente; as outras duas ainda estão em processo de divulgação coordenada. O Google pagou uma recompensa pela falha no Windows e já enviou uma correção de código, com o CVE ainda pendente.

As duas falhas da Samsung foram repassadas ao Google e permanecem sob investigação. Não havia relatos públicos de exploração dessas falhas até o momento da publicação.

Três formas de derrubar o compartilhamento da Apple

As três falhas do AirDrop terminam no mesmo travamento: elas derrubam o sharingd, o serviço em segundo plano do macOS e do iOS que gerencia o AirDrop. O detalhe é que esse mesmo serviço também roda o AirPlay, o Handoff, a Área de Transferência Universal, a Câmera de Continuidade e o NameDrop, então um único travamento derruba todo o conjunto de uma vez.

A mais simples das três precisa apenas de uma única requisição maliciosa enviada a um dispositivo com o AirDrop configurado para receber de "Todos". Envie essas mensagens de travamento em loop, cerca de uma a cada dois segundos, e os recursos ficam fora do ar enquanto o atacante mantiver o ataque. No teste dos pesquisadores, nenhuma transferência legítima pelo AirDrop foi concluída durante o ataque.

Duas das três falhas vão além do AirDrop, porque vivem em frameworks (conjuntos de bibliotecas de software) compartilhados da Apple. A mais ampla é um estouro de pilha no analisador de listas de propriedades em XML (linguagem de marcação extensível) da Foundation, provocado por um arquivo pequeno com cerca de 200 camadas aninhadas.

Qualquer aplicativo da Apple que abra um arquivo não confiável desse tipo pode cair no mesmo caminho do analisador, em macOS, iOS, watchOS, tvOS e visionOS. Os pesquisadores reproduziram os travamentos do AirDrop no macOS 15.7.4, macOS 26.3, iOS 18.x e iOS 26.3; uma versão mais antiga do iOS 16 não foi afetada.

As falhas do Quick Share e uma correção que deu errado

No Android, duas falhas no Quick Share da Samsung permitem que um atacante pule o handshake (etapa inicial de negociação de conexão) que deveria travar a sessão. Uma delas permite que um dispositivo não verificado comece a conduzir a conexão antes que qualquer criptografia seja configurada.

A outra permite que algumas mensagens de controle passem sem criptografia mesmo após existir uma sessão segura. Um atacante na mesma rede Wi-Fi poderia usar essa brecha para forçar uma conexão a um estado "aceito", mantê-la ativa ou fazer o servidor retornar valores de IP e porta fornecidos pelo atacante. Nenhuma das duas foi usada para roubar arquivos, mas ambas vencem as proteções que o sistema promete.

Os pesquisadores testaram essas falhas em um Galaxy S23 Ultra e observaram que as versões do Quick Share de outros fabricantes Android precisam ser verificadas separadamente.

A falha mais grave está no Quick Share do Google para Windows. É um bug de memória que aparece quando duas conexões colidem no momento exato, deixando o programa usando um trecho de memória que ele já havia descartado.

Esse é o tipo de bug que às vezes pode ser transformado em execução de código pelo atacante, e os pesquisadores afirmam que o caminho é plausível neste caso porque uma defesa do Windows chamada Control Flow Guard (proteção de fluxo de controle) está desativada no aplicativo.

Eles confirmaram o travamento, mas não construíram um exploit (programa que se aproveita da falha) funcional. O Google reconheceu a falha, pagou uma recompensa e já enviou uma correção; o CVE ainda está pendente.

Não é a primeira vez que o Quick Share para Windows passa por isso. A SafeBreach reportou uma cadeia de dez bugs de execução de código em 2024 (CVE-2024-38271 e CVE-2024-38272) e depois voltou em 2025 para burlar as correções do Google (CVE-2024-10668). O novo use-after-free (uso de memória já liberada) acrescenta mais um item a um padrão em que o mesmo componente é corrigido e analisado de novo.

O detalhe que incomoda: o próprio código-fonte do programa trazia um comentário admitindo um bug anterior exatamente naquele ponto, com o texto "Tivemos um bug aqui, causado por uma race condition (condição de corrida) com o EncryptionRunner". A correção escrita para tratar isso reintroduziu o mesmo tipo de falha.

O risco é local, não remoto

O limite principal é a distância. São ataques locais, não pela internet: o atacante precisa estar a cerca de 10 a 30 metros ou na mesma rede local.

Embora menos amplo do que um bug remoto, um único atacante em um lugar movimentado como aeroporto, trem ou conferência ainda pode alcançar muitos dispositivos ao mesmo tempo. Os pesquisadores testaram apenas seus próprios equipamentos e disponibilizaram suas ferramentas abertamente para que outras equipes de segurança possam reproduzir os resultados.

Em um Mac ou iPhone, instale a atualização mais recente da Apple (iOS e macOS 26.5.2 foram lançados em 29 de junho) e mantenha o AirDrop em "Apenas Contatos" ou desligado, em vez de "Todos", que é a configuração que essas falhas precisam. No Quick Share, evite a visibilidade para "Todos" quando não estiver recebendo um arquivo ativamente, e atualize o aplicativo para Windows agora que a correção do Google foi enviada.

Dois sistemas construídos de forma independente falharam do mesmo jeito: travamentos em código que fica exposto à rede e verificações de segurança encaixadas em manipuladores de mensagens individuais em vez de aplicadas desde o início. A descoberta também chega em um momento delicado.

A interoperabilidade do Google entre AirDrop e Quick Share já está sendo distribuída para os principais celulares Android, e ela só funciona quando o iPhone está configurado para receber de "Todos", exatamente a configuração que expõe as falhas de travamento do AirDrop.

Segurança AirDrop Quick Share