Přejít k hlavnímu obsahu

Miliardy zařízení jsou v ohrožení. V AirDropu a Quick Share byly nalezeny bezpečnostní slabiny

Pavel Trousil 01.07.2026
QuickShare
Zdroj: Vygenerováno v Gemini, redakce

Bezdrátové sdílení souborů je praktické: přiblížíte telefon k jinému telefonu a soubor se přenese sám, bez hesel, bez kabelů a bez klikání na potvrzovací okna. Právě tato pohodlnost je ale podle nového výzkumu zdrojem vážných bezpečnostních slabin. Jak se zachovat, než se všechny vyřeší?

Kapitoly článku

Jak funguje sdílení, které nikdy nespí

Tým německých vědců odhalil šest zranitelností v AirDropu od Applu a v Quick Share od Googlu a Samsungu, které ohrožují přes pět miliard aktivních zařízení. K zahájení útoku stačí notebook ve vzdálenosti asi do třiceti metrů. Ani jedno potvrzovací okno, ani jeden klik ze strany oběti.

AirDrop a Quick Share jsou totiž navrženy tak, aby sdílení souborů proběhlo co nejhladčeji. Proto obě technologie běží jako privilegované systémové služby na pozadí a nepřetržitě sledují okolní bezdrátový prostor. Jakmile se v dosahu objeví jiné zařízení, automaticky zahájí navazování spojení, ještě před tím, než uživatel cokoliv potvrdí nebo dokonce uvidí jakoukoliv výzvu na displeji.

Výzkumníci Arash Ale Ebrahim a Nils Ole Tippenhauer z německého bezpečnostního centra CISPA Helmholtz Center for Information Security si tohoto principu všimli a rozhodli se oba systémy podrobit zevrubné analýze. Protože Apple ani Google nezveřejňují zdrojové kódy těchto komponent, museli vědci oba protokoly rozebrat metodou zpětného inženýrství, tedy znovu rekonstruovat jejich chování výhradně na základě pozorování. Výsledkem je první srovnávací bezpečnostní studie obou protokolů vedle sebe a šest bezpečnostních zranitelností, z nichž část výrobci teprve opravují.

Share
Zdroj: screenshot aplikace, redakce
Pokud nepotřebujete přijímat soubory od cizích lidí, není důvod ponechávat aplikace nastavenou na „kohokoliv“. Zapněte přijímaní pouze pro kontakty.

Tři způsoby, jak shodit systém Apple

Na straně Applu ovládá veškeré bezdrátové sdílení jediná služba na pozadí, systémový démon sharingd. Ten je zodpovědný nejen za AirDrop, ale také za AirPlay, Handoff, Universal Clipboard a Continuity Camera. Pokud tato služba spadne, přestanou fungovat všechny zmíněné funkce naráz.

Výzkumníci našli hned tři způsoby, jak ji shodit, přičemž útočník musí být v dosahu 10 až 30 metrů a zařízení musí mít AirDrop nastaven na příjem od „kohokoliv“. 

Nejjednodušší útok spočívá v odeslání jediného poškozeného požadavku, po němž se celá služba okamžitě zhroutí. Opakuje-li útočník tento požadavek každé dvě vteřiny, drží tím všechny zmíněné funkce offline tak dlouho, jak chce. Zbývající dvě chyby fungují na podobném principu, jedna z nich navíc zasahuje nejen AirDrop, ale i další aplikace Applu napříč macOS, iOS, watchOS, tvOS a visionOS.

Dobrou zprávou je, že se výzkumníci pokusili deseti různými způsoby data z telefonů skutečně odcizit. Všechny pokusy selhaly. Útočník tedy dokáže funkce odstavit, ale k vašim souborům se nedostane.

Mohlo by vás zajímat

Samsung a Google: autentizace s mezerami

Na straně Androidu a systému Windows testovali výzkumníci Quick Share na telefonu Samsung Galaxy S23 Ultra a na desktopovém klientu pro systém Windows.

U Samsungu narazili na dva podobné problémy: aplikace přijímala určité příkazy ještě předtím, než proběhlo ověření totožnosti, a některé řídicí zprávy procházely bez šifrování i poté, co bylo zabezpečené spojení zdánlivě navázáno. Útočník přítomný ve stejné Wi-Fi síti tak mohl celou komunikaci převzít a udržovat ji aktivní podle vlastního uvážení.

Nejzávažnější zranitelností z celé studie je přesto chyba v klientu Quick Share pro systém Windows, která by za určitých podmínek mohla útočníkovi umožnit spustit na napadeném počítači vlastní kód. Google za její nahlášení vyplatil odměnu a vydal opravu.

Co celou věc dělá obzvlášť nepříjemnou? Přímo ve zdrojovém kódu aplikace byl komentář vývojářů, kteří si chybu v tomto místě uvědomovali a výslovně na ni upozornili. Oprava, kterou tehdy napsali, ovšem znovu zavedla tentýž typ problému. A nejde o první takový případ. Bezpečnostní firma SafeBreach nahlásila podobné chyby v Quick Share pro systém Windows již v roce 2024 a v roce 2025 pak ukázala, jak vydané záplaty obejít.

Mohlo by vás zajímat

Stejné příznaky, odlišný kód

Přestože Apple a Google vyvinuli oba systémy zcela nezávisle a nesdílejí prakticky žádný kód, výzkumníci narazili na překvapivě podobné typy slabin. Obě implementace vystavují útočníkům rozsáhlou útočnou plochu ještě před ověřením totožnosti a obě přenechávají kontrolu bezpečnostních pravidel jednotlivým obslužným rutinám namísto centrálního vynucování.

Příčina je podle výzkumníků strukturální. Protokoly pro bezdrátové sdílení jsou navrženy s důrazem na plynulost, a to nutně znamená, že složité privilegované procesy musí přijímat vstupy od neznámých zařízení dříve, než proběhne jakékoliv ověření. Výsledkem je velká útočná plocha, kterou je obtížné zmenšit bez narušení uživatelského komfortu.

Pro budoucí protokoly tohoto typu výzkumníci doporučují tři věci. Soustředit veškeré ověřování na jediné místo namísto rozptýlení do jednotlivých obslužných rutin, minimalizovat množství kódu spustitelného před autentizací a zavést protokolárně uvědomělé fuzz testování jako standardní součást vývojového procesu.

Mohlo by vás zajímat

Co to znamená v praxi

Útočník potřebuje být v dosahu přibližně 10 až 30 metrů. Žádná sdílená síť, žádný přímý kontakt, žádné potvrzení ze strany oběti. Na letišti, konferenci nebo v přeplněném nákupním centru může jeden člověk s laptopem zasáhnout stovky zařízení naráz.
Nejde přitom o kradení fotek nebo osobních dat. Chyby v AirDropu jsou typem útoku označovaným jako odepření služby. Útočník funkci nevyužije pro sebe, ale odstaví ji oběti. Pro běžného uživatele je to spíše nepříjemnost, pro firemní nasazení, kde se pravidelně přenášejí soubory, může jít o citelný provozní problém.

Načasování výzkumu navíc není bezvýznamné. Google postupně zavádí vzájemné propojení Quick Share s AirDropem tak, aby si zařízení s Androidem a iPhony mohla předávat soubory napříč ekosystémy. Tato funkce ale funguje pouze tehdy, když má iPhone nastaven AirDrop do režimu „kohokoliv“, a to je přesně ten režim, který odhalené zranitelnosti vyžadují.

V době, kdy chatboti, AI agenti a automatizované pracovní postupy propojují zařízení, cloudové služby i lokální sítě a stávají se součástí každodenní práce, bude správné navrhování bezpečnostních hranic v těchto protokolech čím dál důležitější.

Co dělat hned teď

Opravy přicházejí postupně. Apple opravil jednu ze tří chyb AirDropu v aktualizacích iOS a macOS 26.5.2 vydaných 29. června 2026, zbývající dvě jsou stále v procesu koordinovaného zveřejnění. Google vydal opravu pro klienta Quick Share pro systém Windows, číslo CVE zatím není zveřejněno. Chyby v implementaci Samsungu Google stále vyšetřuje.

Doporučení jsou přitom jednoduchá. Na iPhonu nebo Macu přejděte do nastavení AirDrop a zvolte „Pouze kontakty“ nebo funkci zcela vypněte. Pokud nepotřebujete přijímat soubory od cizích lidí, není důvod ponechávat AirDrop nastaven na „kohokoliv“. Totéž platí pro Quick Share na Androidu. Klienta Quick Share pro systém Windows aktualizujte na nejnovější verzi.

Základní pravidlo je prosté. Funkce, které aktivně nevyužíváte, vypněte. V případě bezdrátového sdílení to platí dvojnásob.

Zdroj: Cybernews, Helpnet security, The Hackers News, Android Security, Cryptography and Security
 

Video tipy ze světa technologií od redakce Chip.cz –

Máte k článku připomínku? Napište nám

Seznam diskuze

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme


Novinky