AirDrop w iPhone’ach i Macach oraz Quick Share w telefonach z Androidem to funkcje, których używa niemal każdy — wystarczy zbliżyć dwa urządzenia, by bez kabla i wspólnej sieci przesłać zdjęcie czy dokument. Właśnie te powszechnie używane mechanizmy okazały się dziurawe. Dwaj badacze z niemieckiego ośrodka CISPA Helmholtz Center for Information Security opisali 30 czerwca 2026 roku sześć luk bezpieczeństwa, które dotykają ekosystemu liczącego ponad pięć miliardów aktywnych urządzeń Apple i Android.
Na czym polegają luki
Trzy błędy dotyczą AirDropa i wszystkie kończą się tak samo — zawieszają usługę sharingd, czyli proces odpowiedzialny w tle za działanie funkcji udostępniania na macOS i iOS. Problem w tym, że ten sam proces obsługuje również AirPlay, Handoff, Uniwersalny schowek, Aparat Continuity i NameDrop, więc jedna awaria wyłącza cały zestaw naraz. Najprostszy z ataków wymaga wysłania jednej zniekształconej wiadomości do urządzenia ustawionego na odbiór od „wszystkich”. Powtarzając ją co dwie sekundy, napastnik potrafi utrzymać funkcje w stanie niedziałania tak długo, jak chce.
Dwie z tych luk sięgają głębiej, bo tkwią we wspólnych bibliotekach Apple — w parserze plików property list, który przepełnia się przy pliku z około 200 zagnieżdżonymi warstwami. To oznacza, że dowolna aplikacja Apple otwierająca taki spreparowany plik może paść ofiarą tego samego błędu.
Android i Windows też na celowniku
Po stronie Androida dwie luki w Quick Share firmy Samsung pozwalają obejść uzgadnianie sesji, które ma zabezpieczać połączenie. Napastnik w tej samej sieci Wi-Fi może wymusić stan „zaakceptowano” albo podać własne wartości adresu IP i portu. Najpoważniejszy błąd trafił jednak w aplikację Quick Share dla Windows od Google — to luka pamięci typu use-after-free, która teoretycznie może prowadzić do uruchomienia kodu napastnika. Google wypłacił nagrodę za zgłoszenie i wydał już poprawkę.
Ryzyko jest lokalne, ale realne
Kluczowe ograniczenie to zasięg. To ataki lokalne, nie internetowe — napastnik musi znajdować się w promieniu około 10–30 metrów lub w tej samej sieci lokalnej. Nie ma powodu do paniki, ale w zatłoczonym miejscu, jak lotnisko, pociąg czy konferencja, jedna osoba z laptopem może dosięgnąć wielu urządzeń jednocześnie.
Jak się chronić
Najważniejsze jest ustawienie widoczności. Na iPhonie i Macu warto trzymać AirDrop w trybie „Tylko kontakty” lub całkowicie wyłączonym, zamiast „Wszyscy” — bo to właśnie to otwarte ustawienie jest potrzebne do ataku. Analogicznie w Quick Share nie zostawiaj widoczności dla „wszystkich”, gdy akurat nie odbierasz pliku. Poza tym obowiązuje stara zasada: instaluj aktualizacje na bieżąco. Apple załatało już jeden z błędów w wersjach iOS i macOS 26.5.2 z 29 czerwca, a użytkownicy Windowsa powinni zaktualizować aplikację Quick Share.
Podsumowanie
Ten przypadek pokazuje, że nawet wygodne funkcje wbudowane w system potrafią stać się furtką dla napastnika. Na szczęście obrona jest prosta i nie wymaga wiedzy technicznej — wystarczy ograniczyć widoczność udostępniania do zaufanych kontaktów i regularnie aktualizować urządzenia. Dwie niezależnie zbudowane platformy zawiodły w ten sam sposób, co przypomina, że bezpieczeństwo trzeba egzekwować od samego początku, a nie doklejać do pojedynczych funkcji.
źródło: https://thehackernews.com/2026/06/airdrop-and-quick-share-flaws-let.html