Исследователи Araш Але Эбрагим и Нильс Оле Типпенхауэр из CISPA Helmholtz Center for Information Security обнаружили шесть уязвимостей в функциях беспроводной передачи файлов — AirDrop от Apple и Quick Share от Google и Samsung. Это первая работа, где оба протокола разобраны рядом, выше радиоуровня, с охватом обнаружения устройств, установки сессий, разбора данных и проверки доверия. Суммарная аудитория затронутых устройств превышает пять миллиардов активных аппаратов под управлением iOS, macOS и Android.
Три бага в AirDrop
Все три уязвимости бьют по одному процессу — фоновому демону sharingd, который на macOS и iOS отвечает не только за AirDrop, но и за AirPlay, Handoff, Universal Clipboard, Continuity Camera и NameDrop. Один удачный сбой роняет их все разом.
Первая уязвимость проще прочих: атакующему достаточно ноутбука в радиусе беспроводной связи и устройства-жертвы с AirDrop в режиме «Все». Одиночный деформированный запрос кладёт sharingd, а зациклив отправку примерно раз в две секунды, можно держать все перечисленные функции недоступными сколь угодно долго. В ходе тестирования ни одна легитимная передача файла так и не прошла.
Вторая уязвимость серьёзнее по охвату. Она живёт в парсере XML property list (plist) фреймворка Foundation — общего для всей экосистемы Apple. Файл примерно с двумястами вложенными слоями XML вызывает переполнение стека. Воспроизведено на macOS 15.7.4, macOS 26.3, iOS 18.x и iOS 26.3. Старая сборка iOS 16 не пострадала. Проблема шире AirDrop: её можно задействовать через любое Apple-приложение, открывающее недоверенный файл такого типа, на macOS, iOS, watchOS, tvOS и visionOS. Третья уязвимость тоже затрагивает общие фреймворки Apple и остаётся под координированным раскрытием — детали пока закрыты.
Четыре бага в Quick Share
На стороне Samsung тестирование проходило на Galaxy S23 Ultra. Первый баг позволяет неавторизованному устройству начать управлять соединением до того, как выставлено шифрование, — рукопожатие, призванное защитить сессию, просто обходится. Второй баг: часть управляющих сообщений ходит в открытом виде даже внутри уже якобы защищённой сессии. Комбинируя оба дефекта в одной Wi-Fi-сети, атакующий может принудительно перевести соединение в «принятое» состояние, удерживать его живым и заставить сервер вернуть подконтрольные ему IP и порт. Украсть файлы таким путём не удалось, но защиты, которые система декларирует, оба бага разрушают полностью. Samsung передала оба случая в Google, где они сейчас изучаются.
Наиболее опасная из всех шести уязвимостей — Use-After-Free в Quick Share для Windows. Баг срабатывает, когда два соединения сталкиваются в нужный момент и программа обращается к уже освобождённой памяти. Теоретически это открывает путь к выполнению произвольного кода. Усугубляет ситуацию то, что защита Control Flow Guard (CFG) в приложении отключена. Крэш подтверждён, рабочего эксплойта пока нет. Google признала баг, выплатила вознаграждение и выпустила исправление; CVE ещё присваивается.
Особого внимания заслуживает комментарий, найденный прямо в исходном коде приложения: «У нас здесь был баг, вызванный гонкой с EncryptionRunner». Патч, написанный для того старого бага, воспроизвёл ту же самую проблему на том же самом месте. Это не разовый случай: в 2024 году компания SafeBreach опубликовала цепочку из десяти уязвимостей (CVE-2024-38271 и CVE-2024-38272), ведущих к выполнению кода, а в 2025-м ту же команда сообщила об обходе уже выпущенных фиксов (CVE-2024-10668). Текущая уязвимость от Але Эбрагима и Типпенхауэра — в том же компоненте.
Дальность и условия атаки
Физический радиус атаки — от десяти до тридцати метров при беспроводном соединении либо вся локальная сеть. Оборудование — только ноутбук, предварительное соединение с жертвой не нужно. Для AirDrop-атак устройство должно стоять в режиме видимости «Все». Один атакующий в аэропорту, на вокзале или конференции способен одновременно накрыть десятки устройств вокруг.
Системная проблема архитектуры
Оба продукта сломались схожим образом: крэши в коде, открытом сети, и проверки безопасности, навешанные на каждый обработчик сообщений по отдельности, вместо единой точки контроля на входе сессии. Это не частный баг — это архитектурный подход, который воспроизводит одни и те же классы уязвимостей снова и снова.
Отдельная коллизия возникла со сроками. Google как раз разворачивает поддержку совместимости AirDrop в Quick Share для флагманских Android-телефонов, и эта функция работает только тогда, когда на iPhone выставлен режим «Все» — тот самый, который открывает доступ к AirDrop-крэшам.
Что делать прямо сейчас
Три бага в AirDrop
Все три уязвимости бьют по одному процессу — фоновому демону sharingd, который на macOS и iOS отвечает не только за AirDrop, но и за AirPlay, Handoff, Universal Clipboard, Continuity Camera и NameDrop. Один удачный сбой роняет их все разом.
Первая уязвимость проще прочих: атакующему достаточно ноутбука в радиусе беспроводной связи и устройства-жертвы с AirDrop в режиме «Все». Одиночный деформированный запрос кладёт sharingd, а зациклив отправку примерно раз в две секунды, можно держать все перечисленные функции недоступными сколь угодно долго. В ходе тестирования ни одна легитимная передача файла так и не прошла.
Вторая уязвимость серьёзнее по охвату. Она живёт в парсере XML property list (plist) фреймворка Foundation — общего для всей экосистемы Apple. Файл примерно с двумястами вложенными слоями XML вызывает переполнение стека. Воспроизведено на macOS 15.7.4, macOS 26.3, iOS 18.x и iOS 26.3. Старая сборка iOS 16 не пострадала. Проблема шире AirDrop: её можно задействовать через любое Apple-приложение, открывающее недоверенный файл такого типа, на macOS, iOS, watchOS, tvOS и visionOS. Третья уязвимость тоже затрагивает общие фреймворки Apple и остаётся под координированным раскрытием — детали пока закрыты.
Четыре бага в Quick Share
На стороне Samsung тестирование проходило на Galaxy S23 Ultra. Первый баг позволяет неавторизованному устройству начать управлять соединением до того, как выставлено шифрование, — рукопожатие, призванное защитить сессию, просто обходится. Второй баг: часть управляющих сообщений ходит в открытом виде даже внутри уже якобы защищённой сессии. Комбинируя оба дефекта в одной Wi-Fi-сети, атакующий может принудительно перевести соединение в «принятое» состояние, удерживать его живым и заставить сервер вернуть подконтрольные ему IP и порт. Украсть файлы таким путём не удалось, но защиты, которые система декларирует, оба бага разрушают полностью. Samsung передала оба случая в Google, где они сейчас изучаются.
Наиболее опасная из всех шести уязвимостей — Use-After-Free в Quick Share для Windows. Баг срабатывает, когда два соединения сталкиваются в нужный момент и программа обращается к уже освобождённой памяти. Теоретически это открывает путь к выполнению произвольного кода. Усугубляет ситуацию то, что защита Control Flow Guard (CFG) в приложении отключена. Крэш подтверждён, рабочего эксплойта пока нет. Google признала баг, выплатила вознаграждение и выпустила исправление; CVE ещё присваивается.
Особого внимания заслуживает комментарий, найденный прямо в исходном коде приложения: «У нас здесь был баг, вызванный гонкой с EncryptionRunner». Патч, написанный для того старого бага, воспроизвёл ту же самую проблему на том же самом месте. Это не разовый случай: в 2024 году компания SafeBreach опубликовала цепочку из десяти уязвимостей (CVE-2024-38271 и CVE-2024-38272), ведущих к выполнению кода, а в 2025-м ту же команда сообщила об обходе уже выпущенных фиксов (CVE-2024-10668). Текущая уязвимость от Але Эбрагима и Типпенхауэра — в том же компоненте.
Дальность и условия атаки
Физический радиус атаки — от десяти до тридцати метров при беспроводном соединении либо вся локальная сеть. Оборудование — только ноутбук, предварительное соединение с жертвой не нужно. Для AirDrop-атак устройство должно стоять в режиме видимости «Все». Один атакующий в аэропорту, на вокзале или конференции способен одновременно накрыть десятки устройств вокруг.
Системная проблема архитектуры
Оба продукта сломались схожим образом: крэши в коде, открытом сети, и проверки безопасности, навешанные на каждый обработчик сообщений по отдельности, вместо единой точки контроля на входе сессии. Это не частный баг — это архитектурный подход, который воспроизводит одни и те же классы уязвимостей снова и снова.
Отдельная коллизия возникла со сроками. Google как раз разворачивает поддержку совместимости AirDrop в Quick Share для флагманских Android-телефонов, и эта функция работает только тогда, когда на iPhone выставлен режим «Все» — тот самый, который открывает доступ к AirDrop-крэшам.
Что делать прямо сейчас
- []Apple выпустила iOS и macOS 26.5.2 29 июня — обновление нужно поставить. Один из трёх AirDrop-багов закрыт, два ещё нет. До полного патча AirDrop лучше держать в режиме «Только контакты» или вовсе выключить.
[]Для Quick Share: не оставлять режим видимости «Все» постоянно включённым. Пользователям Windows обновить приложение Quick Share — фикс от Google уже в коде.