Die Analyse von Arash Ale Ebrahim und Nils Ole Tippenhauer ist nach eigenen Angaben die erste, die AirDrop und Quick Share oberhalb der Funkschicht direkt nebeneinander zerlegt: also dort, wo Geräteerkennung in Sitzungsverwaltung, Parsing und Vertrauensentscheidungen übergeht. Untersucht wurden konkrete Implementierungen und Versionen innerhalb eines Ökosystems mit mehr als fünf Milliarden aktiven Apple- und Android-Geräten.

Bei AirDrop führen alle drei gefundenen Fehler zum Absturz von „sharingd“, dem Hintergrunddienst von macOS und iOS für AirDrop. Da derselbe Dienst auch AirPlay, Handoff, Universal Clipboard, Continuity Camera und NameDrop steuert, fallen bei einem Absturz sämtliche diese Funktionen gemeinsam aus. Die einfachste der drei Lücken benötigt nur eine einzige fehlerhaft formatierte Anfrage an ein Gerät, das AirDrop-Empfang von „Jeder“ erlaubt. Wird eine solche Absturznachricht etwa alle zwei Sekunden wiederholt gesendet, bleiben die Funktionen laut den Tests der Forscher so lange außer Betrieb, wie der Angreifer weitermacht. Während des Angriffs kam in ihrem Versuch keine legitime AirDrop-Übertragung mehr durch.

Zwei der drei AirDrop-Schwachstellen reichen über AirDrop hinaus, weil sie in gemeinsam genutzten Apple-Frameworks liegen. Die weitreichendste ist ein Stack-Overflow im XML-Property-List-Parser von Foundation, auslösbar durch eine kleine Datei mit rund 200 verschachtelten Ebenen. Jede Apple-Anwendung, die eine nicht vertrauenswürdige Datei dieses Typs öffnet, könnte denselben Parser-Pfad treffen. Die Forscher reproduzierten die AirDrop-Abstürze auf macOS 15.7.4, macOS 26.3, iOS 18.x und iOS 26.3; eine ältere iOS-16-Build war nicht betroffen.

Auf Android fanden die Forscher zwei Schwachstellen in Samsungs Quick Share. Beide erlauben es einem Angreifer, die Absicherung des Sitzungsaufbaus zu umgehen. Eine davon ermöglicht es einem nicht verifizierten Gerät, die Verbindung zu steuern, bevor überhaupt eine Verschlüsselung eingerichtet ist. Die andere lässt bestimmte Steuernachrichten auch dann unverschlüsselt passieren, wenn bereits eine abgesicherte Sitzung besteht. Ein Angreifer im selben WLAN könnte dadurch eine Verbindung in einen „akzeptierten“ Zustand zwingen, sie aufrechterhalten oder den Server dazu bringen, vom Angreifer vorgegebene IP- und Port-Werte zurückzugeben. Die Forscher zeigten damit keinen Dateidiebstahl, stellen aber fest, dass beide Fehler die zugesagten Schutzmechanismen aushebeln. Getestet wurde dies auf einem Galaxy S23 Ultra; Versionen anderer Android-Hersteller müssten separat geprüft werden.

Am schwerwiegendsten bewerten die Forscher den Fehler in Googles Quick Share für Windows. Es handelt sich um einen Speicherfehler, der auftritt, wenn zwei Verbindungen im richtigen Moment kollidieren und das Programm anschließend einen Speicherbereich weiterverwendet, den es bereits freigegeben hatte. Die Forscher halten einen Weg zur Ausführung von Angreifercode hier für plausibel, weil in der App eine Windows-Schutzfunktion namens Control Flow Guard deaktiviert ist. Einen funktionsfähigen Exploit bauten sie jedoch nicht, bestätigten aber den Absturz. Google bestätigte den Fehler, zahlte eine Prämie und hat inzwischen eine Korrektur eingespielt; die CVE ist noch ausstehend.

Quick Share für Windows war bereits zuvor durch ähnliche Probleme aufgefallen. SafeBreach meldete 2024 eine Kette aus zehn Fehlern zur Codeausführung mit CVE-2024-38271 und CVE-2024-38272 und umging 2025 erneut Googles Korrekturen mit CVE-2024-10668. Der neue Use-after-free reiht sich damit in ein wiederkehrendes Muster desselben Komponentenbereichs ein. Besonders brisant wirkt dabei laut Bericht ein Kommentar im Quellcode, der an genau dieser Stelle einen früheren Fehler durch eine Race-Condition mit „EncryptionRunner“ einräumte; die damalige Korrektur führte denselben Fehlertyp erneut ein.

Apple hat eine der drei AirDrop-Lücken bereits behoben, der zugehörige Sicherheitshinweis ist aber noch nicht öffentlich. Die beiden weiteren AirDrop-Fehler befinden sich noch in koordinierter Offenlegung. Die zwei Samsung-Bugs wurden an Google übergeben und werden noch untersucht. Für Nutzer empfehlen die Forscher auf Mac und iPhone die neuesten Apple-Updates; iOS und macOS 26.5.2 wurden am 29. Juni veröffentlicht. Außerdem sollte AirDrop nicht auf „Jeder“, sondern auf „Nur Kontakte“ oder ganz ausgeschaltet stehen. Bei Quick Share raten sie dazu, die Sichtbarkeit „Jeder“ nur beim aktiven Empfang zu verwenden und die Windows-App jetzt zu aktualisieren, nachdem Googles Fix bereitsteht.

Hinzu kommt ein ungünstiger Zeitpunkt: Googles AirDrop-Interoperabilität für Quick Share wird bereits auf Android-Flaggschiffen ausgerollt. Diese Funktion arbeitet nur, wenn das iPhone AirDrop-Empfang von „Jeder“ erlaubt – genau die Einstellung also, die die AirDrop-Absturzfehler erst angreifbar macht.