TOPlist

AirDrop a Quick Share ohrožuje chyba v 5 miliardách zařízení. Poradíme, jak se bránit

  • Výzkumníci z centra CISPA popsali šest bezpečnostních chyb ve sdílení AirDrop a Quick Share
  • Zranitelnosti se podle nich týkají přes pět miliard zařízení s iOS, macOS, Androidem i Windows
  • Útočníkovi stačí notebook a vzdálenost do zhruba 30 metrů, oběť nemusí na nic kliknout

Sdílejte:
Adam Kurfürst
Adam Kurfürst
3.7.2026 12:00
Ikona komentáře 0
aidrop quick share s telefonem zranitelnost ai ilustrace

Rychlé sdílení souborů mezi telefony bereme jako samozřejmost – ťuknete na jméno protějšku a fotka je během chvilky na druhé straně. Právě téhle pohodlnosti se ale chytili němečtí výzkumníci: v AirDropu i v Quick Share odhalili sérii chyb, kvůli kterým může útočník na dálku vyřadit bezdrátové funkce miliardám zařízení.

Zranitelnosti se týkaly 5 miliard zařízení

Za objevem stojí dvojice z německého centra pro kybernetickou bezpečnost CISPA – Arash Ale Ebrahim a Nils Ole Tippenhauer. Ve své studii popsali celkem šest zranitelností, tři v Apple AirDropu a tři v Quick Share od Googlu. Dohromady zasahují systémy iOS, macOS, Android i Windows, zasažených zařízení údajně mohlo být přes pět miliard. To číslo ale zahrnuje všechna zařízení, která dané protokoly používají, takže ho berte spíš jako řádový rozsah problému než jako počet reálně napadnutelných telefonů.

Jak by útok probíhal?

Nejnepříjemnější na celé věci je nenáročnost útoku. Stačí obyčejný notebook s Wi-Fi a přiblížit se k oběti na zhruba 30 metrů – žádný podvodný odkaz, žádné párování, druhá strana nemusí vůbec nic udělat. Pak už jen odejde jediný poškozený požadavek, který shodí službu běžící na pozadí.

U AirDropu má tohle nepříjemný přesah. Služba, která ho na pozadí obsluhuje, totiž zároveň zajišťuje i AirPlay, Handoff, Universal Clipboard nebo Continuity Camera – když spadne, přestane najednou fungovat celá tahle sada funkcí. A opakovaným posíláním požadavků ji jde udržet mimo provoz prakticky natrvalo.

Čím se liší Quick Share od AirDropu?

Zatímco chyby v AirDropu končí hlavně pádem, u Quick Share to výzkumníci dotáhli dál. Na Samsungu Galaxy S23 Ultra se jim povedlo obejít ověření ještě předtím, než si zařízení vymění šifrovací klíče – protokol totiž přečte a odbaví několik datových rámců dřív, než proběhne bezpečnostní část domluvy. Druhá chyba pak umožnila obejít i šifrování u rámců, které následují po navázání spojení.

Nejzávažnější kousek se ale týká klienta pro Windows. Šlo o chybu typu use-after-free v práci s pamětí, která mohla vést až ke spuštění cizího kódu, tedy k mnohem vážnějšímu scénáři než jen k pádu. Právě tuhle díru už Google záplatoval a autorům za ni vyplatil odměnu ze svého programu pro lovce chyb.

Na opravě chyb se prý stále pracuje

Než ale propadnete panice, jedna věc situaci zmírňuje: ve většině případů nejde o krádež dat, ale o odepření služby – tedy spíš o naštvání než o vykradení telefonu. Útočník navíc musí být fyzicky poblíž, takže o hromadné dálkové zneužití nejde. Výjimkou je zmíněná paměťová chyba ve Windows, ta byla vážnější – a je už opravená.

Jak jsou na tom ostatní záplaty? Apple podle výzkumníků jednu ze tří chyb v AirDropu opravil a přiřadil jí evidenční číslo CVE, zbývající dvě řeší. Google kromě windowsové chyby pracuje na dalších bodech v rámci koordinovaného zveřejnění. Kompletní sada oprav tak zatím venku není.

Bránit se přitom dá i bez čekání na aktualizace. Klíčové je nenechávat příjem souborů otevřený úplně všem: v nastavení AirDropu i Quick Share přepněte viditelnost na „Pouze kontakty“, nebo příjem rovnou vypněte, když ho zrovna nepotřebujete. Pro drtivou většinu lidí je to naprosto dostačující obrana.

Necháváte svůj telefon viditelný pro všechny, nebo jen pro kontakty?

Zdroje: arXiv, Android Authority, The Hacker News, Help Net Security

O autorovi

Adam Kurfürst

Adam studuje na gymnáziu a technologické žurnalistice se věnuje od svých 14 let. Pakliže pomineme jeho vášeň pro chytré telefony, tablety a příslušenství, rád se… Více o autorovi

Adam Kurfürst
Sdílejte: