Vulnerabilidades en AirDrop y Quick Share
Resumen rápido
Investigadores descubren fallos de seguridad en AirDrop y Quick Share que permiten a atacantes cercanos provocar bloqueos y eludir comprobaciones. Estas vulnerabilidades afectan la transferencia inalámbrica de archivos entre dispositivos.
AirDrop y Quick Share: fallos de proximidad permiten denegación de servicio y bypass de sesión
Un equipo de investigación del CISPA Helmholtz Center for Information Security ha revelado un conjunto de vulnerabilidades en los tres grandes servicios de compartición de archivos por proximidad: AirDrop de Apple, Quick Share de Samsung y Nearby/Quick Share de Google. Los fallos permiten desde bloquear el dispositivo de la víctima hasta saltarse los controles de sesión que deberían pedir confirmación al usuario.
El problema
Los investigadores Arash Ale Ebrahim y Nils Ole Tippenhauer identificaron varias clases de fallo:
- AirDrop (Apple): tres vulnerabilidades de denegación de servicio que hacen fallar el demonio
sharingd. El ataque envía un documento XML con anidamiento profundo (~200 niveles) que provoca un desbordamiento de pila al parsearlo, tumbando el servicio de compartición. - Quick Share (Samsung): un fallo de bypass de sesión que permite completar una transferencia sin la confirmación explícita del usuario.
- Quick Share para Windows (Google): una vulnerabilidad de use-after-free explotable en la versión de escritorio.
El vector es de proximidad (Bluetooth/Wi-Fi Direct), por lo que el atacante debe estar en el radio de alcance, pero no requiere emparejamiento previo.
Estado de los parches
Apple corrigió parte del problema en macOS 15.7.4 / 26.3 e iOS 18.x / 26.3, y completó la mitigación en iOS y macOS 26.5.2 (publicado el 29 de junio de 2026). Samsung y Google han distribuido sus respectivas correcciones a través de sus canales de actualización.
Recomendaciones inmediatas
- Actualiza iOS/macOS a 26.5.2 o superior, y aplica las últimas actualizaciones de Samsung y Google.
- Configura AirDrop en "Solo contactos" (Contacts Only) en lugar de "Todos" para reducir la superficie de ataque.
- Desactiva Quick Share/Nearby Share cuando no lo uses, especialmente en entornos públicos.
- En flotas gestionadas, fuerza la política de recepción restringida mediante MDM.
¿Estás cubierto en DefensOps?
Desde el plan Advanced, DefensOps aporta visibilidad sobre esta superficie:
- T1499 – Denegación de servicio en el endpoint: detección de caídas repetidas y reinicios anómalos de servicios del sistema (como
sharingd) que delatan intentos de explotación DoS. - T1203 – Explotación para ejecución en cliente: correlación de crashes de aplicaciones seguidos de comportamiento anómalo, característico de vulnerabilidades como el use-after-free de Quick Share para Windows.
La telemetría de endpoint de DefensOps registra fallos de proceso y patrones de reinicio para que el equipo de seguridad pueda diferenciar un cuelgue benigno de un intento de explotación.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: The Hacker News
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Advanced.
Técnicas MITRE ATT&CK: T1499, T1203
- Abuso de servicios de compartición de proximidad · T1499 · plan Advanced
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.