Trong kỷ nguyên thiết bị di động, AirDrop và Quick Share đã trở thành những tính năng gần như “vô hình” nhưng không thể thiếu. Chỉ cần vài thao tác chạm, người dùng có thể gửi ảnh, tài liệu hay video giữa iPhone, Mac, điện thoại Android hay máy tính Windows mà không cần cáp hay mạng chung. Sự tiện lợi này dựa trên giao thức proximity – phát hiện và kết nối tự động trong phạm vi gần. Tuy nhiên, chính thiết kế ưu tiên trải nghiệm liền mạch đã tạo ra bề mặt tấn công lớn mà các nhà nghiên cứu Đức mới đây đã phơi bày rõ ràng.
Chia sẻ file nhanh khi dùng AirDrop hoặc Quick Share có thể không an toàn như bạn nghĩ
Vào cuối tháng 6/2026, nhóm nghiên cứu gồm Arash Ale Ebrahim và Nils Ole Tippenhauer từ CISPA Helmholtz Center for Information Security công bố kết quả phân tích sâu hai giao thức này. Họ tìm ra tổng cộng sáu lỗ hổng (V1-V6). Ba lỗ hổng ở AirDrop đều dẫn đến Denial-of-Service (DoS): kẻ tấn công chỉ cần gửi gói tin được tạo đặc biệt từ laptop cách khoảng 30 mét là có thể làm sập tiến trình sharingd – thành phần xử lý không chỉ AirDrop mà còn AirPlay, Handoff, Universal Clipboard và Continuity Camera. Một lỗi khác liên quan đến parser XML trong Foundation framework gây tràn stack khi gặp dữ liệu lồng ghép quá sâu. Lỗi thứ ba là NULL pointer dereference trong HTTP/1.1 parser.
Ở phía Quick Share, hai lỗ hổng trên implementation của Samsung cho phép xử lý các frame giao thức trước khi hoàn tất xác thực UKEY2 handshake, đồng thời bypass mã hóa cho một số loại frame nhất định. Điều này mở đường cho việc thao túng trạng thái kết nối. Lỗi nghiêm trọng nhất nằm ở ứng dụng Quick Share cho Windows của Google: lỗi use-after-free do race condition khi hai kết nối va chạm, có tiềm năng dẫn đến thực thi mã từ xa (RCE). Google đã trao bounty và vá lỗi này.
Hiện tại, Apple đã vá ít nhất một lỗi và đang phối hợp xử lý các lỗi còn lại. Google/Samsung đang điều tra các vấn đề trên Android. Chưa có khai thác thực tế nào được ghi nhận công khai.
Điều đáng nói không chỉ là số lượng lỗ hổng mà còn là mô hình chung đằng sau chúng. Dù Apple và Google/Samsung triển khai theo cách khác nhau – Apple dùng daemon tập trung với cơ chế khóa, Quick Share dùng quản lý endpoint đa luồng – cả hai đều gặp vấn đề tương tự: bề mặt tấn công trước xác thực (pre-authentication) quá lớn. Các daemon đặc quyền phải xử lý dữ liệu phức tạp từ thiết bị chưa được tin cậy ngay khi phát hiện lân cận. Các kiểm tra bảo mật thường bị phân tán ở từng handler thay vì được thực thi tập trung ở lớp dispatcher duy nhất. Kết quả là lỗi logic, race condition và parser thiếu robust. Các nhà nghiên cứu nhấn mạnh đây là thách thức kỹ thuật phổ biến khi các công ty ưu tiên “zero configuration” và trải nghiệm mượt mà tối đa.
Người dùng có thể đột ngột không gửi được file, các tính năng Continuity bị vô hiệu hóa khi bị tấn công DoS lặp lại. Trong môi trường đông đúc như sân bay, quán cà phê hay hội nghị, một kẻ tấn công có thể ảnh hưởng đến hàng chục, thậm chí hàng trăm thiết bị cùng lúc mà không cần chạm vào máy nạn nhân. Về lâu dài, nếu các lỗ hổng này bị khai thác sâu hơn (từ DoS lên RCE), rủi ro lộ dữ liệu hoặc kiểm soát thiết bị sẽ tăng đáng kể.

Tính năng AirDrop trên thiết bị Apple
AirDrop và Quick Share góp phần không nhỏ vào năng suất làm việc di động và hợp tác liền mạch giữa các hệ sinh thái khác nhau. Việc chúng bị “sờ gáy” làm giảm niềm tin của người dùng vào các tính năng tiện lợi, đồng thời buộc các hãng công nghệ phải đầu tư thêm nguồn lực vào kiểm thử fuzzing giao thức, thiết kế bảo mật từ đầu (secure by design) và coordinated disclosure. Đây cũng là lời nhắc nhở rằng ngay cả những công nghệ được coi là “an toàn vì phổ biến” vẫn cần được giám sát liên tục.
Nhìn nhận một cách toàn diện, sáu lỗ hổng này không phải là thảm họa tức thì, mà là cơ hội để ngành công nghệ cải thiện. Việc các nhà nghiên cứu tiết lộ có trách nhiệm và các công ty phản hồi nhanh chóng là điểm tích cực. Tuy nhiên, nó cũng đặt ra câu hỏi lớn hơn: Làm sao để xây dựng các giao thức proximity vừa tiện lợi tối đa vừa an toàn tối thiểu? Câu trả lời nằm ở việc thu hẹp bề mặt tấn công trước xác thực, tập trung kiểm tra bảo mật ở một lớp duy nhất và áp dụng kiểm thử state-machine nghiêm ngặt hơn.
Cập nhật iOS, macOS, Android và ứng dụng Quick Share lên phiên bản mới nhất ngay khi có. Với AirDrop, chuyển sang chế độ “Chỉ danh bạ” hoặc tắt hoàn toàn khi không cần dùng. Với Quick Share, hạn chế chế độ hiển thị cho “Mọi người” và chỉ bật khi thực sự cần chia sẻ. Tránh sử dụng các tính năng này ở môi trường công cộng đông đúc nếu không thực sự cần thiết.
Sáu lỗ hổng trong AirDrop và Quick Share là lời cảnh tỉnh kịp thời. Trong thế giới kết nối không ngừng nghỉ, bảo mật không thể là lớp sơn phủ sau cùng mà phải là nền tảng ngay từ khâu thiết kế. Người dùng chủ động bảo vệ mình, còn các công ty công nghệ cần học từ những sai lầm này để mang lại sự tiện lợi thực sự an toàn.
Tác giả / Nguồn:
Bài viết được biên tập dựa trên báo cáo nghiên cứu của Arash Ale Ebrahim và Nils Ole Tippenhauer (CISPA Helmholtz Center for Information Security), công bố tháng 6/2026.
