La sicurezza dei sistemi di condivisione file tra dispositivi mobile è tornata al centro dell’attenzione dopo che, nelle scorse ore, i ricercatori del CISPA Helmholtz Center for Information Security hanno reso pubbliche sei nuove vulnerabilità che coinvolgono AirDrop di Apple e Quick Share.
Lo studio, condotto da Arash Ale Ebrahim e Nils Ole Tippenhauer, riguarda oltre cinque miliardi di dispositivi attivi tra iOS, macOS, Android e Windows. Il problema si colloca nella fase iniziale di scoperta e accettazione della connessione, dove il sistema deve distinguere tra mittenti legittimi e tentativi di interazione non autorizzati, spesso privilegiando la rapidità del trasferimento a scapito della verifica dell’identità.
Come funziona la scoperta dei dispositivi vicini
Quick Share utilizza una combinazione di Bluetooth e Wi-Fi per identificare i dispositivi nelle vicinanze e negoziare i parametri di connessione.
I ricercatori del CISPA hanno testato l’implementazione su un Samsung Galaxy S23 Ultra con Android 16, scoprendo che il livello Nearby Connections inizia a elaborare alcuni messaggi OfflineFrame subito dopo un’unica richiesta di connessione non autenticata, ancor prima che l’handshake crittografico UKEY2 sia completato.
Questo consente a un attaccante nel raggio di 10-30 metri di interagire con la macchina a stati del protocollo e di inviare contenuti protobuf arbitrari senza alcuna autenticazione, ampliando la superficie di attacco a zero click.
Vulnerabilità critiche e rischio di esecuzione remota
Delle tre vulnerabilità individuate su Quick Share, una riguarda un bug use-after-free nel client Windows, considerato il più grave perché potenzialmente sfruttabile per l’esecuzione di codice da remoto; Google lo ha riconosciuto assegnando una ricompensa attraverso il proprio programma bug bounty e ha già rilasciato una correzione.
Le altre due segnalazioni, relative all’implementazione Samsung, restano ancora sotto analisi presso Google. Parallelamente, i ricercatori hanno individuato tre vulnerabilità distinte su AirDrop, capaci di provocare il crash del demone sharingd e, di conseguenza, di funzioni collegate come AirPlay e Handoff; Apple ha confermato i problemi e sta sviluppando le patch, mentre uno dei bug ha già ricevuto un identificativo CVE non ancora pubblicato.