Spegnete AirDrop e Quick Share in pubblico: scoperte 6 falle “zero-click” che bucano i telefoni a distanza

🛡️ Executive Summary

• Il CISPA ha individuato sei vulnerabilità in AirDrop e Quick Share, molte sfruttabili in modalità zero-click o pre-autenticazione.
• Le falle consentono denial of service, bypass della crittografia, manipolazione del protocollo e, in un caso, potenziale esecuzione di codice remoto.
• I ricercatori raccomandano patch, rafforzamento dell’autenticazione e controlli più rigorosi nei protocolli di trasferimento wireless di prossimità.

I protocolli di condivisione rapida rappresentano una delle funzionalità più utilizzate negli ecosistemi moderni, ma una nuova ricerca del CISPA Helmholtz Center for Information Security dimostra come possano trasformarsi anche in un’importante superficie di attacco. Lo studio, lungo quattordici pagine, analizza per la prima volta in maniera comparativa Apple AirDrop e Google/Samsung Quick Share, individuando sei vulnerabilità che interessano i meccanismi di trasferimento file utilizzati quotidianamente da miliardi di dispositivi. Gli esperti hanno dimostrato che numerosi attacchi possono essere eseguiti semplicemente trovandosi nel raggio d’azione del Bluetooth e del Wi-Fi, senza necessità di pairing, autenticazione preventiva o interazione da parte della vittima. La ricerca evidenzia inoltre come alcuni problemi non derivino da singoli bug isolati, ma da debolezze strutturali nella progettazione dei protocolli di prossimità.

I protocolli di prossimità espongono una superficie di attacco più ampia del previsto

Sia AirDrop sia Quick Share sono progettati per privilegiare semplicità e rapidità nello scambio di file tra dispositivi vicini. Il funzionamento si basa sulla combinazione di Bluetooth Low Energy e connessioni Wi-Fi, che permettono di individuare automaticamente i dispositivi presenti entro una distanza compresa indicativamente tra dieci e trenta metri. Proprio questa accessibilità rappresenta però uno dei principali punti deboli individuati dai ricercatori. I servizi che gestiscono il protocollo operano infatti con privilegi elevati e devono elaborare strutture dati particolarmente complesse, come Binary Property List, archivi CPIO, Protocol Buffers, certificati digitali e handshake crittografici. L’esposizione diretta all’ambiente wireless, unita alla complessità del codice, aumenta sensibilmente la probabilità che errori di implementazione possano trasformarsi in vulnerabilità sfruttabili da remoto.

AIRFUZZ ricostruisce completamente lo stack di AirDrop

Per analizzare il funzionamento dei protocolli, il team del CISPA ha eseguito un’approfondita attività di reverse engineering su macOS, iOS, Android e Windows. Nel caso di AirDrop è stato ricostruito integralmente lo stack del protocollo, comprendendo AWDL, IPv6 link-local, TLS 1.2 e 1.3, HTTP/1.1, i Binary Property List, il formato di compressione DVZip e gli archivi CPIO newc. Parallelamente è stato sviluppato AIRFUZZ, un fuzzer progettato specificamente per comprendere la struttura del protocollo anziché limitarsi a generare dati casuali. Il sistema applica mutazioni intelligenti ai diversi livelli della comunicazione, mantenendo validi i file elaborati e consentendo una copertura molto più ampia del codice. Grazie a oltre 250.000 test automatici e all’impiego di hook dinamici tramite Frida, i ricercatori sono riusciti a individuare vulnerabilità che difficilmente sarebbero emerse con tecniche di fuzzing tradizionali.

Sei vulnerabilità interessano AirDrop e Quick Share

L’analisi ha portato all’identificazione di sei vulnerabilità principali. Le prime tre riguardano AirDrop. La V1 permette di provocare un denial of service inviando richieste HTTP verso percorsi non previsti, causando l’esecuzione di una funzione fatalError all’interno del daemon sharingd. La V2 sfrutta una ricorsione eccessiva nei file XML plist, provocando uno stack overflow quando il parser incontra strutture con oltre duecento livelli di annidamento. La V3 interessa invece il parser HTTP/1.1, dove un framing non valido può causare una NULL pointer dereference e il conseguente arresto del servizio.

Le vulnerabilità V4 e V5 riguardano Samsung Quick Share. Nel primo caso è possibile inviare messaggi del protocollo prima del completamento dell’handshake UKEY2, alterando lo stato della comunicazione e iniettando frame arbitrari. Nel secondo, alcuni messaggi possono essere trasmessi in plaintext anche dopo l’avvio della connessione sicura, aggirando il wrapping previsto dal protocollo e aprendo la strada a manipolazioni della comunicazione senza il consenso dell’utente.

La vulnerabilità più critica è la V6, individuata nella versione Windows di Google Quick Share. Una race condition durante la gestione dell’handshake può infatti provocare una use-after-free nella memoria heap. Secondo i ricercatori, combinando questa debolezza con tecniche di heap spray sarebbe teoricamente possibile ottenere l’esecuzione di codice remoto. La gravità della scoperta è stata riconosciuta anche da Google, che ha assegnato un bug bounty ai ricercatori.

Attacchi zero-click possibili in luoghi pubblici

L’aspetto più preoccupante della ricerca riguarda le modalità di sfruttamento. Gran parte delle vulnerabilità è infatti pre-autenticazione oppure zero-click, caratteristica che elimina la necessità di qualsiasi interazione da parte della vittima. Un aggressore potrebbe avvicinarsi fisicamente al bersaglio in un aeroporto, una conferenza, un ufficio o una stazione ferroviaria e tentare lo sfruttamento semplicemente trovandosi nel raggio di copertura del protocollo wireless. Nei casi meno gravi l’effetto consiste nell’interruzione del servizio di condivisione file, mentre negli scenari più complessi è possibile manipolare lo stato della comunicazione o ottenere accesso a dati sensibili e codice eseguibile. La ricerca dimostra quindi come i protocolli di prossimità, spesso considerati relativamente innocui, debbano essere trattati con gli stessi criteri di sicurezza applicati ai servizi di rete tradizionali.

Apple, Google e Samsung informate nell’ambito della responsible disclosure

I ricercatori hanno notificato tutte le vulnerabilità seguendo le procedure di responsible disclosure, coinvolgendo Apple, Google e Samsung prima della pubblicazione dello studio. Tutti i produttori hanno confermato la ricezione delle segnalazioni, mentre Google ha riconosciuto formalmente la vulnerabilità V6 assegnando una ricompensa economica nell’ambito del proprio programma di bug bounty. Al momento della pubblicazione della ricerca, tuttavia, non tutte le correzioni risultavano ancora disponibili pubblicamente. Contestualmente il team del CISPA ha reso disponibili gli artefatti del progetto AIRFUZZ attraverso Zenodo, consentendo alla comunità scientifica di riprodurre gli esperimenti e proseguire le attività di ricerca sui protocolli di trasferimento di prossimità.

Lezioni per la sicurezza dei protocolli wireless

Lo studio mette in evidenza un problema destinato ad assumere crescente importanza con la diffusione dei dispositivi intelligenti. Le vulnerabilità individuate non dipendono soltanto da singoli errori di programmazione, ma da scelte architetturali che consentono a servizi privilegiati di elaborare contenuti complessi prima che vengano applicati adeguati controlli di autenticazione e crittografia. Per questo motivo i ricercatori suggeriscono di eliminare l’utilizzo di funzioni come fatalError nei componenti esposti alla rete, limitare la profondità di annidamento dei file serializzati, verificare autenticazione e cifratura già a livello di dispatcher e rafforzare la sincronizzazione degli endpoint per prevenire condizioni di gara. Fino alla distribuzione completa delle patch, gli utenti possono ridurre l’esposizione limitando l’uso di AirDrop e Quick Share in ambienti pubblici particolarmente affollati e mantenendo costantemente aggiornati i propri dispositivi. La ricerca del CISPA conferma infatti che anche funzionalità apparentemente semplici, come la condivisione di un file tra dispositivi vicini, possono nascondere una superficie di attacco molto più ampia di quanto si immaginasse.