La recente scoperta di alcune vulnerabilità in AirDrop e Quick Share solleva dubbi sulla sicurezza dei sistemi di condivisione file tra dispositivi. A evidenziarlo è un gruppo di ricercatori del CISPA Helmholtz Center for Information Security, che ha individuato sei vulnerabilità complessive nei due sistemi. Vediamo meglio i dettagli.
Le vulnerabilità individuate
Nel dettaglio, AirDrop risulterebbe affetto da tre vulnerabilità nella fase di pre-autenticazione su iOS e macOS, che potrebbero permettere a un dispositivo nelle vicinanze di interferire con la fase di connessione. Quick Share, invece, presenterebbe problemi logici nel processo di autenticazione e una vulnerabilità di memoria nel client Windows, che in alcuni scenari potrebbe compromettere il corretto processo di verifica tra dispositivi. Secondo quanto riportato dai ricercatori, l'attacco non richiede phishing o interazioni da parte dell'utente: è sufficiente che l'aggressore si trovi nelle vicinanze fisiche della vittima (circa 30 metri) con un dispositivo in grado di sfruttare il processo di riconoscimento.
In questo contesto, il problema riguarda soprattutto le fasi iniziali di connessione, che avvengono automaticamente quando le funzioni di condivisione sono attive. Durante i test su dispositivi come Galaxy S23 Ultra, è stato dimostrato che, in condizioni controllate, è possibile interferire con il processo di autenticazione e influenzare lo scambio dati tra dispositivi vicini, senza alcuna azione da parte dell'utente.
Nonostante ciò, non tutti i dispositivi risultano automaticamente esposti in modo pratico. Le condizioni necessarie all'attacco sono infatti specifiche e legate allo stato dei servizi di condivisione e alla loro configurazione.
Prime soluzioni in arrivo
Apple e Google sono già intervenute parzialmente: Apple ha corretto uno dei bug di AirDrop tramite aggiornamento software, mentre Google ha rilasciato una patch per il client Windows di Quick Share.
Come misura precauzionale, è consigliato impostare la visibilità su "Solo contatti" oppure disattivare la ricezione quando non necessaria.
Per conoscere i dettagli della nostra policy editoriale, è disponibile la pagina etica.