Dois pesquisadores do CISPA Helmholtz Center descobriram seis falhas de segurança no AirDrop (Apple) e no Quick Share (Google/Samsung), os sistemas que enviam arquivos entre aparelhos próximos sem cabos nem pareamento. As brechas permitem que um atacante a até 30 metros de distância derrube o serviço de compartilhamento do iPhone ou do Mac e até contorne a autenticação no Android. Mais de cinco bilhões de dispositivos ativos usam um dos dois sistemas.

Pontos-chave da descoberta

  • O alvo: AirDrop (iOS, macOS) e Quick Share (Android, Windows), recursos de transferência por proximidade.
  • As falhas: três no AirDrop (negam serviço ao daemon sharingd) e três no Quick Share (bypass de sessão e falha de memória).
  • O vetor: atacante local com notebook e Wi-Fi, a 10 a 30 metros, sem precisar de pareamento ou rede compartilhada.
  • O impacto: AirDrop configurado para “Todos” responde antes de qualquer toque na tela; uma falha afeta AirPlay, Handoff e Continuity Camera juntos.
  • O status: Apple corrigiu uma das três; Google pagou recompensa e corrigiu a falha do Windows; Samsung investiga as outras duas. Sem exploração conhecida até agora.

AirDrop e Quick Share explicados

Celulares e notebooks vêm de fábrica com um recurso que envia fotos, documentos e links a dispositivos próximos pelo ar, sem cabo, conta ou pareamento prévio. A Apple chama o seu de AirDrop; Google e Samsung chamam o seu de Quick Share. Ambos rodam dentro de serviços privilegiados em segundo plano, que despertam assim que outro aparelho entra no alcance de rádio.

O perigo estrutural está aí: esses serviços leem uma pilha de formatos de dados serializados vindos de dispositivos que nunca encontraram antes. Para oferecer uma experiência fluida, os daemons privilegiados processam entradas controladas pelo atacante antes de qualquer autenticação ou aprovação do usuário. Isso cria, nas palavras dos pesquisadores Arash Ale Ebrahim e Nils Ole Tippenhauer, uma grande superfície de ataque pré-autenticação. Em aparelhos Apple configurados para receber de “Todos”, as fases iniciais do protocolo respondem antes mesmo de aparecer um aviso na tela.

As três falhas do AirDrop

As três brechas do AirDrop terminam do mesmo jeito: derrubam o sharingd, o daemon de fundo do macOS e iOS que cuida do AirDrop. O problema é que esse mesmo serviço também roda AirPlay, Handoff, Área de Transferência Universal, Continuity Camera e NameDrop — então uma queda derruba tudo junto.

A falha mais simples precisa de apenas uma requisição malformada a um caminho não reconhecido, que dispara uma chamada de erro fatal (fatalError) em Swift e aborta o processo inteiro. Enviada em loop, a cada dois segundos, mantém o serviço fora do ar pelo tempo que o atacante quiser. Em testes do The Hacker News, nenhuma transferência legítima de AirDrop passou enquanto o ataque corria — e todas voltaram a funcionar quando ele parou.

A segunda falha é a mais ampla: vive no parser de listas de propriedades XML do framework Foundation, da Apple. Ele recursa sem limite de profundidade, então um arquivo com cerca de 200 elementos aninhados exaure a pilha da thread. O alcance se estende a qualquer aplicativo Apple que abra um arquivo não confiável desse tipo, em macOS, iOS, watchOS, tvOS e visionOS. A terceira é uma desreferência de ponteiro nulo no parser HTTP do sistema, acionável com cabeçalhos de tamanho e de bloco malformados.

Falha Plataforma Efeito
fatalError no roteamento iOS, macOS Derruba sharingd e todo o ecossistema Continuity
Recursão no parser XML iOS, macOS, watchOS, tvOS, visionOS Estouro de pilha com arquivo de 200 níveis
Ponteiro nulo no HTTP iOS, macOS Queda do serviço de compartilhamento

Os pesquisadores reproduziram os ataques no macOS 15.7.4, no macOS 26.3, no iOS 18.x e no iOS 26.3; uma versão mais antiga (iOS 16) não foi afetada. A Apple já corrigiu uma das três falhas e atribuiu um CVE, embora o aviso ainda não seja público. As outras duas seguem em divulgação coordenada.

Os defeitos do Quick Share

As falhas do Quick Share saem do choque e entra na lógica de protocolo. A primeira deixa um atacante dirigir a máquina de estados da conexão antes da autenticação. A implementação da Samsung despacha frames de aplicação logo após a requisição de abertura, antes da troca de chaves UKEY2 que deveria barrar tudo o que vem depois. Três tipos de frame são processados e respondidos sem segredo algum trocado — resultado reproduzido em todos os testes.

A segunda brecha está um passo adiante. Terminada a troca de chaves e existindo chaves de sessão, três dos sete tipos de frame pós-handshake ainda são processados quando enviados como dados simples, sem criptografia. Um atacante na mesma rede Wi-Fi pode empurrar uma conexão ao estado “aceito”, manter a sessão viva e fazer o servidor devolver endereços de IP e porta controlados por ele. Nada provou roubo de arquivos, mas ambas as falhas derrotam as proteções que o sistema promete. Foram testadas num Galaxy S23 Ultra.

O defeito mais sério fica no Quick Share para Windows, da Google. É um use-after-free: quando duas conexões colidem no mesmo identificador de endpoint e nonce, um objeto é liberado e outra thread passa a usá-lo. É o tipo de bug que às vezes vira execução de código do atacante — e os pesquisadores dizem que o caminho é plausível, porque uma defesa do Windows chamada Control Flow Guard está desligada no aplicativo. Confirmaram a queda, mas não construíram um exploit funcional. A Google reconheceu, pagou recompensa e já landingou a correção; o CVE ainda está pendente.

Um detalhe que dói: o próprio código-fonte carregava um comentário admitindo um bug anterior exatamente naquele ponto — “Tivemos um bug aqui, causado por uma corrida com o EncryptionRunner”. A correção escrita para resolvê-lo reintroduziu o mesmo tipo de falha. Não é a primeira vez: em 2024 a SafeBreach relatou uma cadeia de 10 bugs de execução de código no Quick Share para Windows e, em 2025, voltou para contornar os ajustes da Google.

Por que o alcance importa pouco

O limite principal é o alcance: são ataques locais, não de internet, exigindo proximidade de 10 a 30 metros ou a mesma rede Wi-Fi. Menos abrangente que uma falha remota, mas não inócuo. Um único atacante num lugar cheio — aeroporto, metrô, show, sala de aula, conferência — alcança muitos aparelhos de uma vez.

No Brasil, onde o compartilhamento por proximidade é corriqueiro (fotos em festas, recibos, documentos de trabalho, prints trocados em sala de aula), a configuração “Todos” no AirDrop é comum justamente pela conveniência. É exatamente essa opção que abre a porta às fases iniciais do protocolo responderem sem qualquer toque na tela. Para entender o risco no ecossistema móvel como um todo, vale conferir nosso guia sobre vulnerabilidades em Android e iOS, que mapeia outros vetores além do compartilhamento por proximidade.

Os pesquisadores explicam a convergência de fraquezas entre as duas plataformas: apesar de pouco código compartilhado, os dois designs enfrentaram o mesmo desafio de engenharia — casar fluidez com segurança. A consequência inevitável é um daemon privilegiado que processa entradas complexas controladas pelo atacante antes de qualquer aprovação do usuário.

Como se proteger agora

A boa notícia é que nenhuma das falhas tem exploração conhecida até o momento, e os fabricantes já estão corrigindo. Os passos são simples e cabem numa checagem rápida do aparelho:

  1. Ative as atualizações no iPhone, Mac, Android e Windows. A Apple já corrigiu uma das três falhas do AirDrop; a Google já landingou a correção do Quick Share para Windows.
  2. Tire o AirDrop de “Todos”. Use a opção “Apenas Contatos” ou desligue o recebimento quando não estiver usando — é a defesa mais eficaz contra as fases pré-autenticação.
  3. Desligue a visibilidade do Quick Share no Android quando não precisar receber. Por padrão, ele responde a dispositivos próximos assim que está visível.
  4. Cuidado em locais cheios. Em aeroportos, trens e eventos, desative o compartilhamento por proximidade — o alcance de 30 metros é suficiente para um atacante alcançar dezenas de aparelhos.
  5. Não aceite transferências inesperadas. Mesmo com correções, hábito de recusar arquivos de fontes desconhecidas continua sendo a melhor barreira, especialmente contra golpes que usam imagens e links como isca — algo que também aparece em extensões falsas que roubam o que você digita.

A lição maior é de projeto: serviços de proximidade que privilegiam a conveniência abrem mão, por natureza, de camadas de verificação. Enquanto arquiteturas assim continuarem processando dados de estranhos antes de qualquer aprovação, falhas desse tipo vão continuar aparecendo. A diferença entre o usuário que cai e o que escapa, hoje, ainda é uma configuração simples e um hábito de recusar o desconhecido.

Referências