Le vulnerabilità che riguardano AirDrop e Quick Share sono tornate a fare rumore nel mondo della sicurezza informatica, dopo che un gruppo di ricercatori del CISPA Helmholtz Center for Information Security ha pubblicato sei nuovi problemi che colpiscono proprio questi due strumenti di condivisione. Non parliamo di dettagli marginali. Lo studio, firmato da Arash Ale Ebrahim e Nils Ole Tippenhauer, tocca oltre cinque miliardi di dispositivi attivi tra iOS, macOS, Android e Windows. Un numero che rende l’idea della portata della faccenda.
Il nodo sta tutto in un momento preciso, quello iniziale, quando due dispositivi si trovano e devono decidere se fidarsi l’uno dell’altro. È lì che il sistema deve capire se chi bussa alla porta è un mittente legittimo oppure qualcuno che sta cercando di intrufolarsi. E qui arriva il problema. Spesso, per velocizzare il trasferimento, la verifica dell’identità passa in secondo piano. La rapidità vince sulla prudenza, e questo apre una crepa.
Come i dispositivi si trovano tra loro
Per capire dove nasce il rischio bisogna guardare a come funziona Quick Share. Il sistema sfrutta una combinazione di Bluetooth e Wi-Fi per individuare i dispositivi nelle vicinanze e mettersi d’accordo sui parametri della connessione. Fin qui niente di strano. Il problema salta fuori nei test.
I ricercatori del CISPA hanno provato l’implementazione su un Samsung Galaxy S23 Ultra con Android 16 e hanno notato una cosa curiosa. Il livello Nearby Connections comincia a elaborare alcuni messaggi OfflineFrame subito dopo una singola richiesta di connessione non autenticata. E lo fa prima ancora che l’handshake crittografico UKEY2 sia completato. Tradotto in parole semplici, la porta si socchiude prima che sia arrivato il momento di controllare chi c’è dall’altra parte.
A quel punto un attaccante che si trovi entro un raggio di 10-30 metri può interagire con la macchina a stati del protocollo e inviare contenuti protobuf arbitrari senza alcuna autenticazione. Il risultato è una superficie di attacco che si allarga fino a diventare di tipo zero click, cioè senza bisogno che la vittima faccia nulla.
Il bug più pericoloso e le patch in arrivo
Delle tre falle scovate su Quick Share, una spicca sulle altre. Si tratta di un bug use-after-free nel client Windows, considerato il più serio perché potenzialmente utile a chi volesse eseguire codice da remoto. Google ha riconosciuto il problema, ha premiato la segnalazione tramite il proprio programma bug bounty e ha già rilasciato una correzione. Le altre due segnalazioni, legate all’implementazione Samsung, sono ancora in fase di analisi.
Discorso parallelo per AirDrop. Qui i ricercatori hanno individuato tre vulnerabilità distinte, capaci di mandare in crash il demone sharingd. E quando salta quello, vanno in tilt anche funzioni collegate come AirPlay e Handoff. Apple ha confermato i problemi e sta lavorando alle patch. Uno dei bug ha già ricevuto un identificativo CVE, che al momento non è ancora stato reso pubblico.