Lỗ hổng AirDrop và Quick Share cho phép kẻ tấn công ở gần gây lỗi hệ thống và vượt qua kiểm tra bảo mật

Hai nhà nghiên cứu đã phát hiện sáu lỗ hổng bảo mật trong AirDrop và Quick Share, các tính năng không dây cho phép truyền tệp giữa các thiết bị ở gần mà không cần cáp nối hoặc mạng chung. Kẻ tấn công trong phạm vi sóng không dây, chỉ với một chiếc máy tính xách tay, có thể làm sập dịch vụ chia sẻ trên Mac hoặc iPhone được thiết lập ở chế độ nhận từ "Mọi người" mà không cần bất kỳ thao tác nào từ người dùng. Nghiên cứu cũng chỉ ra các lỗi nghiêm trọng trong Quick Share của Samsung và Google dành cho Windows.
AirDrop and Quick Share Security Flaws

Hai nhà nghiên cứu đã phát hiện ra sáu lỗ hổng bảo mật trong AirDropQuick Share, những tính năng không dây cho phép truyền tệp giữa các thiết bị ở gần mà không cần cáp nối hoặc mạng chung.

Một kẻ tấn công trong phạm vi phủ sóng không dây, chỉ với một chiếc máy tính xách tay và không cần kết nối trước đó, có thể làm sập dịch vụ chia sẻ trên máy Mac hoặc iPhone được thiết lập ở chế độ nhận từ "Mọi người", mà không cần bất kỳ thao tác chạm hay thông báo xác nhận nào.

Nghiên cứu tương tự cũng tìm thấy các lỗ hổng trong Quick Share giúp vượt qua các bước kiểm tra phiên (session checks) của Samsung và kích hoạt một lỗi gây sập hệ thống có khả năng bị khai thác trong ứng dụng Windows của Google.

Hai tính năng này hoạt động trong một hệ sinh thái gồm hơn năm tỷ thiết bị Apple và Android đang hoạt động, mặc dù các lỗi được thử nghiệm chỉ ảnh hưởng đến các phiên bản và triển khai cụ thể.

Công trình này, được trình bày trong một báo cáo nghiên cứu mới của Arash Ale Ebrahim và Nils Ole Tippenhauer thuộc Trung tâm Bảo mật Thông tin CISPA Helmholtz, là nghiên cứu đầu tiên phân tích song song cả hai giao thức này ở các lớp phía trên lớp vô tuyến, nơi quá trình khám phá thiết bị chuyển sang xử lý phiên, phân tích cú pháp và các quyết định tin cậy.

Các bản sửa lỗi đã bắt đầu được triển khai. Apple đã vá một trong ba lỗi AirDrop và gán mã CVE cho nó, mặc dù thông tin tư vấn bảo mật vẫn chưa được công bố rộng rãi; hai lỗi còn lại vẫn đang trong quá trình tiết lộ có phối hợp. Google đã trả tiền thưởng cho lỗi trên Windows và đã tung ra bản sửa lỗi mã nguồn, trong khi mã CVE vẫn đang chờ xử lý.

Hai lỗi của Samsung đã được chuyển giao cho Google và vẫn đang trong quá trình điều tra. Tính đến thời điểm hiện tại, chưa có báo cáo công khai nào về việc các lỗ hổng này bị khai thác trong thực tế.

Ba cách để vô hiệu hóa tính năng chia sẻ của Apple

Cả ba lỗ hổng AirDrop đều dẫn đến cùng một kết quả: chúng làm sập sharingd, dịch vụ chạy nền trên macOS và iOS chịu trách nhiệm xử lý AirDrop. Điều đáng nói là dịch vụ này cũng quản lý các tính năng AirPlay, Handoff, Universal Clipboard, Continuity Camera và NameDrop, vì vậy một lần sập sẽ khiến toàn bộ các tính năng này ngừng hoạt động cùng lúc.

Lỗ hổng đơn giản nhất trong ba lỗi chỉ yêu cầu một yêu cầu sai định dạng (malformed request) gửi đến thiết bị đang đặt AirDrop ở chế độ nhận từ "Mọi người" (Everyone). Nếu gửi các thông báo gây sập này theo một vòng lặp, khoảng hai giây một lần, các tính năng sẽ bị tê liệt chừng nào kẻ tấn công còn tiếp tục. Trong thử nghiệm của các nhà nghiên cứu, không có hoạt động truyền AirDrop hợp lệ nào thực hiện thành công khi cuộc tấn công đang diễn ra.

Hai trong số ba lỗi này không chỉ là lỗi AirDrop, vì chúng nằm trong các framework dùng chung của Apple. Lỗi rộng nhất là tràn ngăn xếp (stack overflow) trong trình phân tích cú pháp danh sách thuộc tính XML của Foundation, được kích hoạt bởi một tệp nhỏ có khoảng 200 lớp lồng nhau.

Bất kỳ ứng dụng Apple nào mở một tệp không đáng tin cậy thuộc loại đó đều có thể gặp phải lỗi phân tích cú pháp tương tự trên macOS, iOS, watchOS, tvOS và visionOS. Các nhà nghiên cứu đã tái hiện được lỗi sập AirDrop trên macOS 15.7.4, macOS 26.3, iOS 18.x và iOS 26.3; một bản dựng iOS 16 cũ hơn không bị ảnh hưởng.

Lỗ hổng Quick Share và bản sửa lỗi gây thêm lỗi

Trên Android, hai lỗ hổng trong Quick Share của Samsung cho phép kẻ tấn công bỏ qua bước bắt tay (handshake) vốn dùng để khóa phiên làm việc. Một lỗi cho phép một thiết bị chưa được xác minh bắt đầu điều khiển kết nối trước khi bất kỳ mã hóa nào được thiết lập.

Lỗi còn lại cho phép một số thông báo điều khiển truyền đi mà không được mã hóa ngay cả sau khi một phiên bảo mật đã tồn tại. Kẻ tấn công trên cùng mạng Wi-Fi có thể sử dụng lỗ hổng đó để ép buộc một kết nối vào trạng thái "đã chấp nhận" (accepted), duy trì kết nối hoặc khiến máy chủ trả về các giá trị IP và cổng do kẻ tấn công cung cấp. Mặc dù cả hai đều không cho thấy khả năng lấy trộm tệp, nhưng chúng đã vô hiệu hóa các lớp bảo vệ mà hệ thống cam kết.

Các nhà nghiên cứu đã thử nghiệm những lỗi này trên Galaxy S23 Ultra và lưu ý rằng phiên bản Quick Share của các nhà sản xuất Android khác cần được kiểm tra riêng biệt.

Lỗ hổng nghiêm trọng nhất nằm trong Quick Share của Google dành cho Windows. Đây là một lỗi bộ nhớ xuất hiện khi hai kết nối xung đột vào đúng thời điểm, khiến chương trình sử dụng một khối bộ nhớ đã bị giải phóng trước đó (use-after-free).

Đây là loại lỗi đôi khi có thể được chuyển đổi thành việc thực thi mã của kẻ tấn công, và các nhà nghiên cứu cho biết khả năng này là khả thi vì cơ chế phòng thủ Windows gọi là Control Flow Guard đã bị tắt trong ứng dụng.

Họ đã xác nhận được lỗi sập hệ thống nhưng không xây dựng một mã khai thác (exploit) hoàn chỉnh. Google đã ghi nhận, trả tiền thưởng và hiện đã tung ra bản vá; mã CVE vẫn đang chờ xử lý.

Đây không phải là lần đầu tiên Quick Share cho Windows gặp vấn đề. SafeBreach từng báo cáo một chuỗi thực thi mã gồm 10 lỗi vào năm 2024 (CVE-2024-38271 và CVE-2024-38272), sau đó quay lại vào năm 2025 để vượt qua các bản vá của Google (CVE-2024-10668). Lỗi use-after-free mới này lại thêm một minh chứng cho thấy thành phần này liên tục được vá rồi lại bị thăm dò lỗ hổng mới.

Một chi tiết đáng chú ý: chính mã nguồn của chương trình có một dòng chú thích thừa nhận một lỗi trước đó tại đúng vị trí đó, viết rằng: "Chúng tôi từng có một lỗi ở đây, gây ra bởi tình trạng tranh chấp (race condition) với EncryptionRunner." Bản sửa lỗi được viết để xử lý nó lại vô tình đưa vào chính loại lỗi tương tự.

Rủi ro mang tính cục bộ, không phải từ xa

Giới hạn chính là phạm vi. Đây là các cuộc tấn công cục bộ, không phải trên toàn mạng internet: kẻ tấn công phải ở trong khoảng cách từ 10 đến 30 mét hoặc trong cùng một mạng nội bộ.

Mặc dù ít lan tỏa hơn một lỗi từ xa, một kẻ tấn công duy nhất ở nơi đông người như sân bay, tàu hỏa hoặc hội nghị vẫn có thể tiếp cận nhiều thiết bị cùng lúc. Các nhà nghiên cứu chỉ thử nghiệm trên phần cứng của riêng họ và đã công khai các công cụ của mình để các nhóm bảo mật khác có thể tái hiện các phát hiện này.

Trên Mac hoặc iPhone, người dùng nên cài đặt bản cập nhật mới nhất của Apple (iOS và macOS 26.5.2 đã xuất xưởng ngày 29 tháng 6) và để AirDrop ở chế độ "Chỉ danh bạ" (Contacts Only) hoặc tắt hẳn thay vì để "Mọi người" (Everyone) — cài đặt vốn cần thiết để các lỗ hổng này hoạt động. Đối với Quick Share, hãy tắt chế độ hiển thị với "Mọi người" khi bạn không thực sự nhận tệp và cập nhật ứng dụng Windows ngay khi bản vá của Google được phát hành.

Hai hệ thống được xây dựng độc lập nhưng lại gặp lỗi theo cùng một cách: sập mã nguồn khi đối mặt với mạng, và các kiểm tra bảo mật được gắn vào từng trình xử lý tin nhắn riêng lẻ thay vì được thực thi ngay từ đầu. Điều này cũng xảy ra vào một thời điểm khá nhạy cảm.

Tính năng tương thích AirDrop của Google dành cho Quick Share đã bắt đầu được triển khai trên các điện thoại Android cao cấp, và nó chỉ hoạt động khi iPhone được đặt ở chế độ nhận từ "Mọi người", đúng thiết lập khiến thiết bị dễ bị tấn công bởi các lỗi gây sập AirDrop.