Miliardy Androidov aj iPhonov v ohrození, stačí k nim byť 10 metrov blízko

Autor: Roland Tokoly Čítanie na 4 min.

Miliardy smartfónov s vážnou chybou

Moderné zariadenia využívajú na bezdrôtový prenos súborov funkcie AirDrop a Quick Share. Tieto systémy bežia neustále na pozadí a prijímajú dáta od neznámych odosielateľov bez nutnosti párovania. Útočníkovi s notebookom tak na prienik stačí fyzická prítomnosť vo vzdialenosti desať až tridsať metrov. Obe technológie momentálne aktívne fungujú na viac ako piatich miliardách zariadení, upozorňuje Helpnetsecurity.com.

Výskumníci z inštitútu CISPA analyzovali aplikačnú vrstvu týchto protokolov a odhalili šesť zraniteľností naprieč systémami macOS, iOS, Android a Windows. Pre hĺbkovú analýzu naprogramovali špeciálny fuzzer, ktorý vkladal mutované dáta do archívov ešte pred procesom kompresie.

Cieľový server vďaka tomu prijaté pakety úspešne dekomprimoval a neodmietol ich už na vstupe. Tento postup výskumníkom umožnil testovať hlbšie vrstvy kódu s viac ako deväťdesiatpercentnou úspešnosťou doručenia.

TENTO smartfón berie ľudí zo Samsungov aj iPhonov

V ekosystéme Apple experti analyzovali systémového démona sharingd, ktorý riadi AirDrop aj ďalšie služby ako AirPlay či Handoff. Akýkoľvek jeho pád automaticky znefunkční všetky závislé procesy. Výskumníci objavili tri kritické chyby.

Prvá spočíva vo volaní funkcie fatalError v jazyku Swift, ku ktorému dochádza pri smerovaní neznámych ciest webových požiadaviek. Útočník odosielaním takýchto požiadaviek v slučke dokáže vytvoriť trvalý stav odopretia služby a úplne zablokovať legitímne spojenia.

Druhú chybu našli v programovom rámci Foundation, kde analyzátor XML formátu vykonáva rekurziu bez hĺbkového limitu. Útočník tak dokáže kompletne vyčerpať pamäťový zásobník.

Treťou chybou je dereferencia nulového smerníka v systémovom analyzátore HTTP požiadaviek, ktorú spúšťajú zámerne poškodené hlavičky.

Technológia Quick Share od Googlu a Samsungu trpí pre zmenu chybami v logike protokolu. Bezpečnostná architektúra spolieha na kryptografický protokol UKEY2. Pri testoch na smartfóne Samsung Galaxy S23 Ultra však výskumníci zistili, že systém spracúva aplikačné rámce okamžite po úvodnej žiadosti o spojenie a úplne preskakuje kľúčovú kryptografickú výmenu kľúčov.

Systém navyše prijíma a spracúva určité potrasové rámce aj vo forme nezašifrovaných dát. Útočník na rovnakej Wi-Fi sieti tak dokáže manipulovať so stavom spojenia, udržiavať reláciu aktívnu a podsúvať serveru vlastné adresy.

Apple, Android
Zdroj: Unsplash

Windows klient služby Quick Share obsahuje mimoriadne nebezpečnú chybu poškodenia pamäte typu use-after-free. Vzniká pri kolízii dvoch spojení na rovnakom identifikátore, čo vedie k uvoľneniu objektu, ktorý vzápätí volá iné vlákno. Vývojári Googlu o chybe vedeli a zanechali o nej v kóde poznámku, no ich predchádzajúca aplikovaná oprava zraniteľnosť iba zopakovala.

Rozličné metódy, podobné problémy

Výskumníci upozorňujú, že hoci obe spoločnosti zvolili odlišnú architektúru, dospeli k podobným slabinám. Apple serializuje požiadavky cez jeden centrálny zámok, čo eliminuje chyby súbehu, no vystavuje systém fatálnym pádom zlyhávajúcich komponentov.

Google a Samsung využívajú paralelné vlákna a decentralizovanú autentifikáciu priamo v jednotlivých obslužných programoch, čo spôsobuje logické medzery a chyby súbehu. Inžinieri preto vývojárom radia centralizovať všetky bezpečnostné kontroly, minimalizovať objem privilegovaného kódu pred samotným overením používateľa a integrovať protokolový fuzzing priamo do vývojového cyklu.

Od sfinalizovania výskumu koncom júna 2026 začali spoločnosti situáciu aktívne riešiť. Apple i Google už vydali softvérové opravy pre jednu zo svojich zraniteľností, pričom proces prideľovania verejných identifikátorov CVE ešte stále prebieha a firmy taja technické detaily patchov.

Zistené chyby v implementácii od Samsungu experti v Googli naďalej vyšetrujú. Výskumníci z inštitútu medzitým uvoľnili svoj vlastný fuzzer, skripty a kompletnú dokumentáciu pre odbornú verejnosť, aby komunita mohla v testovaní týchto protokolov pokračovať.

✅ Odporúčané pre teba

🔥 Najnovšie príspevky zo skriptu

Miliardy Androidov aj iPhonov v ohrození, stačí k nim byť 10 metrov blízko

Autor: Roland Tokoly

Miliardy smartfónov s vážnou chybou Moderné zariadenia využívajú na bezdrôtový prenos súborov funkcie AirDrop a Quick Share. Tieto systémy bežia…

100 % hodnotenia už po prvých epizódach. Najlepšie sci-fi súčasnosti je späť

Autor: Kristína Sudorová

Silo je presne to, na čo fanúšikovia čakali Fanúšikovia kvalitnej science fiction sa po dlhšej prestávke dočkali pokračovania jedného z…

Štát spustil aplikáciu za 24 miliónov. Po dni ju stiahli, je to technická katastrofa

Autor: Slavomír Dzuričko

Aplikácia je v nedohľadne Od 1. júla 2026 spustilo Ministerstvo dopravy projekt Národného integrovaného cestovného lístka (NICL). Jeho hlavnou súčasťou…

Nákupy z Číny sú drahšie, už platí nové clo. Smutné je, že to bude ešte horšie

Autor: Slavomír Dzuričko

Koniec lacných nákupov z Temu či AliExpressu? Nakupovanie z čínskych internetových obchodov, ako sú Temu, Shein či AliExpress, čakajú veľké…

Bezpečnosť v slovenských firmách je v troskách. Neuveríte, čo zamestnanci vešajú na internet

Autor: Peter

Používanie nástrojov umelej inteligencie sa stáva bežnou súčasťou nášho pracovného dňa. Uľahčuje nám písanie textov, analýzu dát či tvorbu kódov.…

iPhony aj Samsungy majú problém, dorazilo TOP skryté eso

Autor: Kristína Sudorová

Vyzerá nenápadne, no po pár dňoch používania prekvapí Samsung a iPhone už roky dominujú trhu. Má však Motorola konečne smartfón,…