Twee onderzoekers hebben zes beveiligingsfouten ontdekt AirDrop En Snel delende draadloze functies die bestanden verzenden tussen apparaten in de buurt zonder kabels of gedeeld netwerk.
Een aanvaller die zich binnen draadloos bereik bevindt, met alleen een laptop en zonder voorafgaande verbinding, kan de deelservice laten crashen op een Mac of iPhone die is ingesteld om van wie dan ook te ontvangen, zonder tikken of vragen.
Uit hetzelfde onderzoek kwamen Quick Share-fouten naar voren die de sessiecontroles van Samsung omzeilen en een potentieel exploiteerbare crash in de Windows-app van Google veroorzaken.
De twee functies draaien binnen een ecosysteem van meer dan vijf miljard actieve Apple- en Android-apparaten, hoewel de geteste bugs specifieke implementaties en versies tegenkomen.
Het werk, uiteengezet in een nieuw onderzoeksartikel van Arash Ale Ebrahim en Nils Ole Tippenhauer van het CISPA Helmholtz Center for Information Security, is het eerste dat beide stapels naast elkaar uit elkaar haalt, boven de radiolaag, waar ontdekking sessieafhandeling, parsering en vertrouwensbeslissingen wordt.
De reparaties zijn al begonnen. Apple heeft een van de drie AirDrop-bugs gepatcht en er een CVE aan toegewezen, hoewel het advies nog niet openbaar is; de andere twee zijn nog steeds in gecoördineerde openbaarmaking. Google betaalde een premie voor de Windows-fout en heeft een codefix binnengehaald, terwijl de CVE nog in behandeling is.
De twee bugs van Samsung zijn aan Google overgedragen en worden nog onderzocht. Op het moment van schrijven zijn er geen openbare rapporten verschenen over het misbruik van deze tekortkomingen.
Drie manieren om het delen van Apple uit te schakelen
Alle drie de AirDrop-fouten eindigen in dezelfde crash: ze verwijderen sharingd, de achtergrondservice op macOS en iOS die AirDrop afhandelt. Het addertje onder het gras is dat deze service ook AirPlay, Handoff, Universal Clipboard, Continuity Camera en NameDrop uitvoert, dus één crash brengt de hele set samen.
Voor de eenvoudigste van de drie hoeft slechts één verkeerd opgemaakt verzoek te worden verzonden naar een apparaat waarop AirDrop is ingesteld om van ‘Iedereen’ te ontvangen. Stuur deze crashberichten herhaaldelijk, ongeveer één per twee seconden, en de functies blijven uitgeschakeld zolang de aanvaller doorgaat. In de test van de onderzoekers kwam er geen legitieme AirDrop-overdracht door terwijl de aanval plaatsvond.
Twee van de drie zijn meer dan AirDrop-bugs, omdat ze in gedeelde Apple-frameworks leven. De breedste is een stack-overflow in de XML-eigenschappenlijstparser van Foundation, veroorzaakt door een klein bestand met ongeveer 200 geneste lagen.
Elke Apple-app die een niet-vertrouwd bestand van dat type opent, kan op hetzelfde parserpad terechtkomen, voor macOS, iOS, watchOS, tvOS en visionOS. De onderzoekers reproduceerden de AirDrop-crashes op macOS 15.7.4, macOS 26.3, iOS 18.x en iOS 26.3; een oudere iOS 16-build werd niet beïnvloed.
De Quick Share-bugs en een oplossing die kapot ging
Op Android zorgen twee fouten in Samsung’s Quick Share ervoor dat een aanvaller de handdruk kan overslaan die een sessie zou moeten vergrendelen. Men laat een niet-geverifieerd apparaat de verbinding tot stand brengen voordat er enige codering is ingesteld.
De andere laat sommige controleberichten onversleuteld passeren, zelfs nadat er een beveiligde sessie bestaat. Een aanvaller op hetzelfde Wi-Fi-netwerk zou dit gat kunnen gebruiken om een verbinding in een ‘geaccepteerde’ staat te forceren, deze in leven te houden of de server de door de aanvaller aangeleverde IP- en poortwaarden te laten retourneren. Geen van beide bleek bestanden te stelen, maar beide verslaan de bescherming die het systeem belooft.
De onderzoekers testten deze op een Galaxy S23 Ultra en merkten op dat de versies van Quick Share van andere Android-makers aparte controle nodig hebben.
De ernstigste fout zit in Google’s Quick Share voor Windows. Het is een geheugenbug die opduikt wanneer twee verbindingen op het juiste moment met elkaar botsen, waardoor het programma een stuk geheugen gebruikt dat het al heeft weggegooid.
Dat is het soort bug dat soms kan worden omgezet in actieve aanvallercode, en de onderzoekers zeggen dat het pad hier plausibel is omdat een Windows-verdediging genaamd Control Flow Guard is uitgeschakeld in de app.
Ze bevestigden een crash, maar bouwden geen werkende exploit. Google erkende het, betaalde een premie en heeft nu een oplossing gevonden; de CVE is nog in behandeling.
Het is niet de eerste keer dat Quick Share voor Windows er is. SafeBreach rapporteerde in 2024 een code-uitvoeringsketen van 10 bugs (CVE-2024-38271 en CVE-2024-38272) en keerde vervolgens in 2025 terug om de oplossingen van Google te omzeilen (CVE-2024-10668). De nieuwe use-after-free voegt nog een item toe aan een patroon van hetzelfde onderdeel dat opnieuw wordt gepatcht en onderzocht.
Het detail dat opvalt: de eigen broncode van het programma bevatte een opmerking waarin werd toegegeven dat er op die exacte plek een eerdere bug was, namelijk: “We hadden hier een bug, veroorzaakt door een race met EncryptionRunner.” De oplossing die is geschreven om dit probleem aan te pakken, introduceerde opnieuw hetzelfde soort fout.
Het risico is lokaal en niet op afstand
De belangrijkste limiet is bereik. Dit zijn lokale aanvallen, geen internetbrede aanvallen: de aanvaller moet zich binnen een straal van ongeveer 10 tot 30 meter bevinden of zich op hetzelfde lokale netwerk bevinden.
Hoewel minder ingrijpend dan een bug op afstand, kan een enkele aanvaller op een drukke plek zoals een luchthaven, trein of conferentie toch veel apparaten tegelijk bereiken. De onderzoekers hebben alleen hun eigen hardware getest en hun tools openlijk vrijgegeven zodat andere beveiligingsteams de bevindingen kunnen reproduceren.
Op een Mac of iPhone installeer je de nieuwste update van Apple (iOS en macOS 26.5.2 geleverd op 29 juni) en laat je AirDrop op ‘Alleen contactpersonen’ of uitgeschakeld staan in plaats van ‘Iedereen’, wat de instelling is die deze fouten nodig hebben. Laat Quick Share het buiten de zichtbaarheid van “Iedereen” wanneer u niet actief een bestand ontvangt, en update de Windows-app nu de oplossing van Google is geland.
Twee onafhankelijk gebouwde systemen faalden op dezelfde manier: crashes in code die naar het netwerk gericht was, en veiligheidscontroles werden op individuele berichtbehandelaars geschroefd in plaats van dat ze vooraf werden afgedwongen. Het komt ook op een ongemakkelijk moment terecht.
Google’s AirDrop-interoperabiliteit voor Quick Share wordt al uitgerold op vlaggenschip-Android-telefoons, en het werkt alleen als de iPhone is ingesteld om van ‘Iedereen’ de exacte instelling te ontvangen die de AirDrop-crashbugs blootlegt.