Dos investigadores han encontrado seis fallos de seguridad en Entrega por paracaídas y Compartir rápidolas funciones inalámbricas que transmiten archivos entre dispositivos cercanos sin cables ni red compartida.
Un atacante dentro del alcance inalámbrico, con solo una computadora portátil y sin conexión previa, puede bloquear el servicio compartido en una Mac o iPhone configurado para recibir de cualquier persona, sin toque ni aviso.
La misma investigación encontró fallas en Quick Share que eluden las comprobaciones de sesión de Samsung y provocan un bloqueo potencialmente explotable en la aplicación de Windows de Google.
Las dos funciones se ejecutan dentro de un ecosistema de más de cinco mil millones de dispositivos Apple y Android activos, aunque los errores probados afectan a implementaciones y versiones específicas.
El trabajo, presentado en un nuevo artículo de investigación de Arash Ale Ebrahim y Nils Ole Tippenhauer del Centro CISPA Helmholtz para la Seguridad de la Información, es el primero en separar ambas pilas una al lado de la otra, por encima de la capa de radio, donde el descubrimiento se convierte en manejo de sesiones, análisis y decisiones de confianza.
Los arreglos ya comenzaron. Apple corrigió uno de los tres errores de AirDrop y le asignó un CVE, aunque el aviso aún no es público; los otros dos aún se encuentran en divulgación coordinada. Google pagó una recompensa por la falla de Windows y consiguió una corrección de código, con su CVE aún pendiente.
Los dos errores de Samsung fueron entregados a Google y siguen bajo investigación. Al momento de escribir este artículo, no ha surgido ningún informe público sobre la explotación de estas fallas.
Tres formas de acabar con el intercambio de Apple
Las tres fallas de AirDrop terminan en el mismo fallo: eliminan el servicio compartido, el servicio en segundo plano en macOS e iOS que maneja AirDrop. El problema es que este servicio también ejecuta AirPlay, Handoff, Universal Clipboard, Continuity Camera y NameDrop, por lo que una falla destruye todo el conjunto.
El más simple de los tres solo necesita una única solicitud con formato incorrecto enviada a un dispositivo con AirDrop configurado para recibir de “Todos”. Envíe esos mensajes de fallo en bucle, aproximadamente uno cada dos segundos, y las funciones permanecerán inactivas mientras el atacante continúe. En la prueba de los investigadores, no se realizó ninguna transferencia AirDrop legítima mientras se ejecutaba el ataque.
Dos de los tres son más que errores de AirDrop, porque viven en marcos compartidos de Apple. El más amplio es un desbordamiento de pila en el analizador de listas de propiedades XML de Foundation, provocado por un pequeño archivo con alrededor de 200 capas anidadas.
Cualquier aplicación de Apple que abra un archivo de ese tipo que no sea de confianza podría acceder a la misma ruta del analizador en macOS, iOS, watchOS, tvOS y visionOS. Los investigadores reprodujeron los fallos de AirDrop en macOS 15.7.4, macOS 26.3, iOS 18.x e iOS 26.3; una versión anterior de iOS 16 no se vio afectada.
Los errores de Quick Share y una solución que falló
En Android, dos fallas en Quick Share de Samsung permitieron a un atacante saltarse el apretón de manos que se supone bloquea una sesión. Se permite que un dispositivo no verificado comience a controlar la conexión antes de que se configure cualquier cifrado.
El otro permite que algunos mensajes de control pasen sin cifrar incluso después de que exista una sesión segura. Un atacante en la misma red Wi-Fi podría usar esa brecha para forzar una conexión a un estado “aceptada”, mantenerla viva o hacer que el servidor devuelva valores de IP y puerto proporcionados por el atacante. Ninguno de ellos roba archivos, pero ambos anulan las protecciones que promete el sistema.
Los investigadores los probaron en un Galaxy S23 Ultra y notaron que las versiones de Quick Share de otros fabricantes de Android necesitan una verificación por separado.
La falla más grave está en Quick Share de Google para Windows. Es un error de memoria que surge cuando dos conexiones chocan en el instante correcto, dejando al programa usando una porción de memoria que ya ha desperdiciado.
Ese es el tipo de error que a veces puede convertirse en la ejecución de código atacante, y los investigadores dicen que la ruta es plausible aquí porque una defensa de Windows llamada Control Flow Guard está desactivada en la aplicación.
Confirmaron un fallo pero no crearon un exploit que funcionara. Google lo reconoció, pagó una recompensa y ahora consiguió una solución; el CVE aún está pendiente.
No es la primera vez que Quick Share para Windows está aquí. SafeBreach informó una cadena de ejecución de código de 10 errores en 2024 (CVE-2024-38271 y CVE-2024-38272), luego regresó en 2025 para evitar las correcciones de Google (CVE-2024-10668). El nuevo uso después de la liberación agrega otra entrada a un patrón del mismo componente que se parchea y prueba nuevamente.
El detalle que duele: el propio código fuente del programa contenía un comentario que admitía un error anterior en ese lugar exacto, que decía “Tuvimos un error aquí, causado por una carrera con EncryptionRunner”. La solución escrita para solucionarlo reintrodujo el mismo tipo de falla.
El riesgo es local, no remoto
El límite clave es el alcance. Se trata de ataques locales, no de Internet: el atacante debe estar a una distancia de entre 10 y 30 metros o en la misma red local.
Si bien es menos radical que un error remoto, un solo atacante en un lugar concurrido como un aeropuerto, un tren o una conferencia aún puede llegar a muchos dispositivos a la vez. Los investigadores probaron solo su propio hardware y publicaron sus herramientas abiertamente para que otros equipos de seguridad puedan reproducir los hallazgos.
En una Mac o iPhone, instale la última actualización de Apple (iOS y macOS 26.5.2 se enviaron el 29 de junio) y mantenga AirDrop en “Solo contactos” o desactivado en lugar de “Todos”, que es la configuración que necesitan estas fallas. En Quick Share, déjelo fuera de la visibilidad de “Todos” cuando no esté recibiendo activamente un archivo y actualice la aplicación de Windows ahora que la solución de Google ha llegado.
Dos sistemas construidos de forma independiente fallaron de la misma manera: fallas en el código que se dirige a la red y controles de seguridad integrados en manejadores de mensajes individuales en lugar de aplicarse desde el principio. También llega en un momento incómodo.
La interoperabilidad AirDrop de Google para Quick Share ya se está implementando en los principales teléfonos Android, y solo funciona cuando el iPhone está configurado para recibir de “Todos”, la configuración exacta que expone los errores de falla de AirDrop.
