2026年7月1日,德国CISPA安全中心发布的一份报告,将苹果AirDrop与谷歌Quick Share这两大主流近场传输协议推至风口浪尖。研究团队投入大量精力,自主研发了一套专用测试工具,通过逆向工程与深度漏洞挖掘,一举发现六个高危安全缺陷——并已按照行业惯例,向相关厂商完成完整披露。
这件事其实颇具深意:用户习以为常的“免配对、即连即传”体验,背后依赖的是后台高权限进程持续扫描周边设备。便利性显而易见,但隐患同样突出——攻击者在十到三十米的无线覆盖范围内,甚至无需用户执行任何操作,便可在身份验证完成前建立连接,实现真正的零点击攻击。换句话说,您尚未察觉,攻击者可能已经连上了您的设备。
先聚焦AirDrop。研究人员发现三个拒绝服务类漏洞,一旦被触发,不仅AirDrop本身会崩溃,就连接力、屏幕镜像等关联功能也会一同瘫痪。问题根源在于网络请求处理与文件解析环节缺乏必要的校验与资源限制。苹果已确认全部漏洞,其中一处已修复,剩余补丁正在陆续推送中。
再看谷歌Quick Share的表现。在部分安卓设备上——例如三星机型——存在两处协议层缺陷。加密握手机制未能真正落实,导致未认证的攻击者可直接发送控制指令;更严重的是,局域网内的中间人可以篡改以明文形式传输的控制消息。底层代码由谷歌维护,相关问题已移交其技术团队处理。
此外,谷歌在Windows平台发布的Quick Share客户端还藏有一处严重的内存安全漏洞,可能被利用实现远程代码执行。目前官方已发放安全赏金,并同步推送了补丁。
这项研究的意义不止于指出问题。团队详细剖析了两类协议在架构设计上的共性与个性缺陷,并提出了切实可行的加固方案。更难得的是,所有配套的测试工具与漏洞复现脚本均已开源。
最后给出一些实用建议。日常使用中,最好不要长期开启“所有人可见”模式。需要分享文件时,临时启用限时功能,用完后及时关闭。在面对近距离主动攻击风险时,一个小习惯的改变,或许就能避免许多麻烦。
