AirDrop und Quick Share: Sechs Zero-Click-Lücken gefährden 5 Milliarden Geräte
01.07.2026 - 22:27:25 | boerse-global.de
Forscher des CISPA Helmholtz-Zentrums für Informationssicherheit haben schwerwiegende Sicherheitslücken in den drahtlosen Dateifreigabeprotokollen von Apple und Google aufgedeckt. Die insgesamt sechs Zero-Click-Schwachstellen könnten weltweit mehr als fünf Milliarden Geräte betreffen.
Millionen Geräte betroffen
Die Sicherheitsexperten Arash Ale Ebrahim und Nils Ole Tippenhauer identifizierten die Schwachstellen in Apple AirDrop und Googles Quick Share. Die Angriffe erfordern keinerlei Interaktion des Nutzers – ein bloßer Aufenthalt in der Nähe eines Angreifers reicht aus. Die Reichweite beträgt zwischen zehn und 30 Metern.
Konkrete Diebstähle persönlicher Daten konnten die Forscher zwar nicht nachweisen. Doch die Lücken ermöglichen es Angreifern, Geräte zum Absturz zu bringen oder Sicherheitsprüfungen zu umgehen.
Drei Schwachstellen in Apples AirDrop
Besonders brisant: Die Forscher entdeckten gleich drei Sicherheitslücken im AirDrop-Protokoll. Die erste Schwachstelle (V1) betrifft einen schwerwiegenden Fehler im Freigabe-Framework, der durch eine nicht erkannte URI ausgelöst wird. Apple hat diesen Fehler bereits am 29. Juni 2026 mit den Updates iOS und macOS 26.5.2 behoben.
Die beiden weiteren Lücken sind technisch anspruchsvoller: Ein Stack-Overflow-Fehler im Foundation-XML-Parser (V2) wird durch eine Property-Liste mit 180 bis 200 verschachtelten Elementen ausgelöst. Hinzu kommt eine NULL-Pointer-Dereferenzierung im HTTP/1.1-Parser (V3). Betroffen sind iOS, macOS, watchOS, tvOS und visionOS.
Die Folgen sind gravierend: Die Hintergrunddienste für AirDrop, AirPlay und Handoff stürzen ab. Die Funktionen bleiben so lange deaktiviert, bis der Dienst neu gestartet wird.
Quick Share: Android und Windows verwundbar
Auch Googles Quick Share – der Standard für Android- und Windows-Geräte – ist betroffen. Tests an einem Samsung Galaxy S23 Ultra förderten zwei logische Fehler zutage:
Die sechs Zero-Click-Lücken in AirDrop und Quick Share betreffen Milliarden Geräte – ohne dass Sie etwas tun müssen. Erfahren Sie in diesem Leitfaden, wie Sie mit drei einfachen Schritten Ihre Geräte schützen. Jetzt kostenlosen Sicherheits-Leitfaden anfordern
- V4: Ermöglicht die Verarbeitung von Frames vor Abschluss der Authentifizierung
- V5: Unverschlüsselte Steuerungsframes werden nach dem Handshake übertragen
Eine sechste Schwachstelle (V6) betrifft den Quick-Share-Client für Windows. Dieser Use-After-Free-Bug wird durch eine Race-Condition ausgelöst und könnte potenziell eine Remote-Code-Ausführung ermöglichen.
Reaktion der Hersteller
Google hat den Windows-Fehler inzwischen bestätigt und die Forscher mit einem Bug Bounty belohnt. Ein Patch für den Desktop-Client wurde bereits ausgerollt. Die mobilen Schwachstellen wurden an Samsung weitergeleitet, das die Ergebnisse an Google zur Prüfung übergab. Vollständige Patches für die Android-Version stehen noch aus.
Apple arbeitet nach eigenen Angaben an weiteren Korrekturen für die XML- und HTTP-Parser-Probleme.
Schutzmaßnahmen für Nutzer
Die Angriffe erfordern weder ein gemeinsames WLAN-Netz noch die Kontaktdaten des Opfers. Das Hauptrisiko liegt derzeit in Dienstunterbrechungen, nicht im Diebstahl persönlicher Dateien.
Ihr iPhone oder Android-Gerät kann allein durch Nähe zu einem Angreifer abstürzen – ohne Klick. Der Leitfaden zeigt, wie Sie die Sichtbarkeit auf „Nur Kontakte“ beschränken und den Patch-Status prüfen. Schutz-Anleitung jetzt sichern
Sicherheitsexperten empfehlen als wichtigste Schutzmaßnahme: Die Sichtbarkeit von AirDrop und Quick Share auf „Nur Kontakte“ beschränken. Im Modus „Alle“ können unbefugte Geräte die drahtlosen Handshakes auslösen, die die Schwachstellen aktivieren.
Android-Nutzer sollten zudem regelmäßig ihre Systemsoftware aktualisieren, sobald weitere Patches bereitgestellt werden.
