当前位置:首页 > 知识 > 德研究首揭AirDrop与Quick Share六大高危漏洞及零点击攻击风险 正文

德研究首揭AirDrop与Quick Share六大高危漏洞及零点击攻击风险

来源:创艾特资讯网   作者:焦点   时间:2026-07-17 04:45:27

2026年7月1日,德研大高洞及德国卡尔斯鲁厄理工学院与亥姆霍兹联合会信息安全中心(CISPA)正式公布了一项针对苹果AirDrop与谷歌Quick Share的究首揭A击攻击风深度安全研究。该研究于6月25日首发,危漏首次对这两款覆盖全球逾50亿台智能设备的零点主流近场传输协议进行了系统性对比与漏洞挖掘。

核心发现:六大高危缺陷与零点击威胁

研究团队通过自主研发的德研大高洞及专用测试工具,结合逆向工程与模糊测试技术,究首揭A击攻击风成功挖掘出六个高危安全缺陷,危漏并严格遵循负责任披露原则向相关厂商通报。零点

由于AirDrop和Quick Share旨在实现“免配对、德研大高洞及即连即传”的究首揭A击攻击风便捷体验,其底层架构均依赖后台高权限进程持续扫描周边设备。危漏这一设计导致攻击者在10至30米的零点无线覆盖范围内,无需用户任何交互或授权,德研大高洞及即可在身份验证完成前建立连接,究首揭A击攻击风从而实施零点击攻击(Zero-Click Attack)。危漏

苹果AirDrop:拒绝服务漏洞影响广泛

针对AirDrop,研究人员识别出三个拒绝服务(DoS)类漏洞。一旦触发,不仅AirDrop功能本身瘫痪,还会连带导致“接力”(Handoff)、“屏幕镜像”等依赖相同底层栈的关联功能失效。

  • 漏洞根源:网络请求处理与文件解析环节缺乏严格的输入校验与资源限制。
  • 修复状态:苹果已确认全部漏洞存在。其中一处高危漏洞已完成修复,其余补丁正在紧急开发中。

谷歌Quick Share:协议缺陷与远程代码执行风险

Quick Share的安全状况同样不容乐观,主要涉及安卓端协议层缺陷及Windows客户端内存安全问题:

  1. 协议层缺陷(安卓端)
  2. 在部分安卓设备(如三星机型)中发现两处协议层漏洞
  3. 加密失效:加密握手机制未能有效落实,允许未认证攻击者直接发送控制指令。
  4. 中间人攻击:局域网内的攻击者能够篡改明文形式的控制消息。
  5. 处置进展:由于该协议底层代码由谷歌维护,相关问题已移交其技术团队处理。

  6. 远程代码执行(Windows端)

  7. 谷歌发布的Windows平台Quick Share客户端存在一处严重内存安全漏洞
  8. 风险等级:极高,可能被利用实现远程代码执行(RCE)。
  9. 处置进展:官方已发放安全赏金,并同步推送了修复补丁。

架构分析与加固建议

该研究不仅详细剖析了AirDrop与Quick Share在架构设计上的共性与个性缺陷,还提出了具备可行性的加固方案。为了促进社区安全研究,所有配套测试工具与漏洞复现脚本均已开源

研究人员向用户提出以下安全建议:

  • 避免长期暴露:切勿长期启用“所有人可见”(Everyone)模式。
  • 限时分享:仅在需要传输文件时,临时开启限时分享功能,并在完成后立即关闭。
  • 降低风险:通过限制接收范围,显著降低遭受近距离主动攻击的概率。

标签:

责任编辑:娱乐