AirDrop y Quick Share: fallos de proximidad permiten denegación de servicio y bypass de sesión

Un equipo de investigación del CISPA Helmholtz Center for Information Security ha revelado un conjunto de vulnerabilidades en los tres grandes servicios de compartición de archivos por proximidad: AirDrop de Apple, Quick Share de Samsung y Nearby/Quick Share de Google. Los fallos permiten desde bloquear el dispositivo de la víctima hasta saltarse los controles de sesión que deberían pedir confirmación al usuario.

El problema

Los investigadores Arash Ale Ebrahim y Nils Ole Tippenhauer identificaron varias clases de fallo:

  • AirDrop (Apple): tres vulnerabilidades de denegación de servicio que hacen fallar el demonio sharingd. El ataque envía un documento XML con anidamiento profundo (~200 niveles) que provoca un desbordamiento de pila al parsearlo, tumbando el servicio de compartición.
  • Quick Share (Samsung): un fallo de bypass de sesión que permite completar una transferencia sin la confirmación explícita del usuario.
  • Quick Share para Windows (Google): una vulnerabilidad de use-after-free explotable en la versión de escritorio.

El vector es de proximidad (Bluetooth/Wi-Fi Direct), por lo que el atacante debe estar en el radio de alcance, pero no requiere emparejamiento previo.

Estado de los parches

Apple corrigió parte del problema en macOS 15.7.4 / 26.3 e iOS 18.x / 26.3, y completó la mitigación en iOS y macOS 26.5.2 (publicado el 29 de junio de 2026). Samsung y Google han distribuido sus respectivas correcciones a través de sus canales de actualización.

Recomendaciones inmediatas

  • Actualiza iOS/macOS a 26.5.2 o superior, y aplica las últimas actualizaciones de Samsung y Google.
  • Configura AirDrop en "Solo contactos" (Contacts Only) en lugar de "Todos" para reducir la superficie de ataque.
  • Desactiva Quick Share/Nearby Share cuando no lo uses, especialmente en entornos públicos.
  • En flotas gestionadas, fuerza la política de recepción restringida mediante MDM.

¿Estás cubierto en DefensOps?

Desde el plan Advanced, DefensOps aporta visibilidad sobre esta superficie:

  • T1499 – Denegación de servicio en el endpoint: detección de caídas repetidas y reinicios anómalos de servicios del sistema (como sharingd) que delatan intentos de explotación DoS.
  • T1203 – Explotación para ejecución en cliente: correlación de crashes de aplicaciones seguidos de comportamiento anómalo, característico de vulnerabilidades como el use-after-free de Quick Share para Windows.

La telemetría de endpoint de DefensOps registra fallos de proceso y patrones de reinicio para que el equipo de seguridad pueda diferenciar un cuelgue benigno de un intento de explotación.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: The Hacker News