AirDrop i Quick Share zagrożone błędem w 5 miliardach urządzeń. Doradzimy, jak się bronić Badacze z centrum CISPA opisali sześć luk bezpieczeństwa w udostępnianiu AirDrop i Quick Share Według nich, luki dotyczą ponad pięciu miliardów urządzeń z iOS, macOS, Androidem i Windows Atakującemu wystarczy laptop i odległość do około 30 metrów, ofiara nie musi nic klikać Sdílejte: Adam Kurfürst Publikováno: 3. 7. 2026 12:00 Szybkie udostępnianie plików między telefonami traktujemy jako coś oczywistego – stukasz w imię drugiej osoby i zdjęcie w mgnieniu oka jest po drugiej stronie. Właśnie tę wygodę wykorzystali niemieccy badacze: w AirDropie i Quick Share odkryli serię błędów, przez które atakujący może zdalnie wyłączyć funkcje bezprzewodowe miliardom urządzeń. Luki dotyczyły 5 miliardów urządzeń Jak przebiegałby atak? Czym różni się Quick Share od AirDrop? Nad naprawą błędów podobno wciąż trwają prace Luki dotyczyły 5 miliardów urządzeń Za odkryciem stoi duet z niemieckiego centrum cyberbezpieczeństwa CISPA – Arash Ale Ebrahim i Nils Ole Tippenhauer. W swojej analizie opisali łącznie sześć luk, trzy w Apple AirDrop i trzy w Quick Share od Google. Łącznie dotyczą one systemów iOS, macOS, Android i Windows, a liczba zagrożonych urządzeń mogła wynosić ponad pięć miliardów. Liczba ta obejmuje jednak wszystkie urządzenia korzystające z tych protokołów, więc należy ją traktować raczej jako rząd wielkości problemu, a nie jako liczbę faktycznie podatnych na atak telefonów. Jak przebiegałby atak? Najbardziej nieprzyjemne w całej sprawie jest prostota ataku. Wystarczy zwykły laptop z Wi-Fi i zbliżenie się do ofiary na około 30 metrów – żaden fałszywy link, żadne parowanie, druga strona nie musi nic robić. Wtedy wysyłane jest tylko jedno uszkodzone żądanie, które powoduje awarię usługi działającej w tle. W przypadku AirDrop ma to nieprzyjemne konsekwencje. Usługa, która obsługuje go w tle, jednocześnie zapewnia również AirPlay, Handoff, Universal Clipboard lub Continuity Camera – gdy się zawiesi, nagle przestaje działać cały ten zestaw funkcji. A poprzez wielokrotne wysyłanie żądań można ją utrzymać poza działaniem praktycznie na stałe. Czym różni się Quick Share od AirDrop? Podczas gdy błędy w AirDrop kończą się głównie awarią, w Quick Share badacze poszli dalej. Na Samsungu Galaxy S23 Ultra udało im się ominąć uwierzytelnianie jeszcze zanim urządzenia wymienią klucze szyfrujące – protokół odczytuje i przetwarza kilka ramek danych, zanim nastąpi część bezpieczeństwa uzgodnień. Drugi błąd umożliwił następnie ominięcie szyfrowania również w przypadku ramek, które następują po nawiązaniu połączenia. AirDrop i Quick Share zagrożone błędem w 5 miliardach urządzeń. Doradzimy, jak się bronić Adam Kurfürst Zprávičky Adam Kurfürst Zprávičky Najpoważniejszy fragment dotyczy jednak klienta dla Windows. Był to błąd typu use-after-free w zarządzaniu pamięcią, który mógł prowadzić do wykonania obcego kodu, czyli do znacznie poważniejszego scenariusza niż tylko awaria. Właśnie tę lukę Google już załatał i wypłacił autorom nagrodę ze swojego programu dla łowców błędów. Nad naprawą błędów podobno wciąż trwają prace Zanim jednak wpadniesz w panikę, jedna rzecz łagodzi sytuację: w większości przypadków nie chodzi o kradzież danych, ale o odmowę usługi – czyli raczej o irytację niż o okradzenie telefonu. Atakujący musi być fizycznie blisko, więc nie ma mowy o masowym zdalnym wykorzystaniu. Wyjątkiem jest wspomniany błąd pamięci w Windows, który był poważniejszy – i jest już naprawiony. Jak wygląda sytuacja z pozostałymi łatkami? Apple, według badaczy, naprawił jeden z trzech błędów w AirDrop i przypisał mu numer ewidencyjny CVE, pozostałe dwa są w trakcie rozwiązywania. Google, oprócz błędu w Windows, pracuje nad kolejnymi punktami w ramach skoordynowanego ujawnienia. Kompletny zestaw poprawek nie jest więc jeszcze dostępny. Można się bronić nawet bez czekania na aktualizacje. Kluczowe jest, aby nie pozostawiać odbioru plików otwartego dla wszystkich: w ustawieniach AirDrop i Quick Share zmień widoczność na „Tylko kontakty”, lub po prostu wyłącz odbiór, gdy akurat go nie potrzebujesz. Dla zdecydowanej większości ludzi jest to całkowicie wystarczająca obrona. Czy zostawiasz swój telefon widoczny dla wszystkich, czy tylko dla kontaktów? Źródła: arXiv, Android Authority, The Hacker News, Help Net Security O autorze Adam Kurfürst Adam studuje na gymnáziu a technologické žurnalistice se věnuje od svých 14 let. Pakliže pomineme jeho vášeň pro chytré telefony, tablety a příslušenství, rád se… Więcej o autorze Sdílejte: AirDrop Android Apple bezpečnostní chyba Quick Share Samsung