สรุปสั้น
นักวิจัยสองคนค้นพบช่องโหว่ด้านความปลอดภัยรวม 6 ตัวในฟีเจอร์ AirDrop ของ Apple และ Quick Share ของ Samsung/Google ซึ่งเป็นฟีเจอร์ส่งไฟล์ระหว่างอุปกรณ์ใกล้เคียงแบบไร้สายที่ไม่ต้องใช้สายเชื่อมต่อหรือเครือข่ายร่วมกัน ผู้โจมตีที่อยู่ในระยะสัญญาณไร้สายเพียงแค่มีโน้ตบุ๊กเครื่องเดียวและไม่เคยเชื่อมต่อกับเหยื่อมาก่อน สามารถทำให้บริการแชร์ไฟล์บน Mac หรือ iPhone ที่ตั้งค่ารับไฟล์จากทุกคนล่มได้ทันทีโดยเหยื่อไม่ต้องแตะหน้าจอหรือได้รับการแจ้งเตือนใด ๆ เลย งานวิจัยเดียวกันนี้ยังพบช่องโหว่ใน Quick Share ที่สามารถเลี่ยงการตรวจสอบเซสชันของ Samsung และทำให้แอป Quick Share บน Windows ของ Google เกิดอาการล่มที่อาจนำไปสู่การรันโค้ดอันตรายได้
ทั้งสองฟีเจอร์นี้ทำงานอยู่บนอุปกรณ์ Apple และ Android ที่ใช้งานอยู่มากกว่า 5 พันล้านเครื่องทั่วโลก แม้ช่องโหว่ที่พบจะจำกัดเฉพาะบางเวอร์ชันและบาง implementation เท่านั้น งานวิจัยนี้จัดทำโดยนาย Arash Ale Ebrahim และนาย Nils Ole Tippenhauer จาก CISPA Helmholtz Center for Information Security ซึ่งเป็นงานแรกที่วิเคราะห์ทั้งสองระบบเปรียบเทียบกันแบบเจาะลึกในชั้นที่อยู่เหนือระดับสัญญาณวิทยุ ครอบคลุมตั้งแต่การค้นพบอุปกรณ์ การจัดการเซสชัน การแยกวิเคราะห์ข้อมูล ไปจนถึงการตัดสินใจด้านความเชื่อถือ ปัจจุบัน Apple ได้แพตช์ช่องโหว่ AirDrop ไปแล้ว 1 ใน 3 ตัวพร้อมออกหมายเลข CVE แม้คำแนะนำจะยังไม่เผยแพร่สู่สาธารณะ ส่วน Google ได้จ่ายค่าตอบแทนช่องโหว่และออกแพตช์แก้ไขแล้วเช่นกัน ขณะที่ช่องโหว่ของ Samsung ยังอยู่ระหว่างการตรวจสอบ
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 30 มิถุนายน พ.ศ. 2569 ว่า ช่องโหว่ AirDrop ทั้งสามตัวจบลงที่การล่มแบบเดียวกันทั้งหมด คือทำให้ sharingd ซึ่งเป็นบริการเบื้องหลังบน macOS และ iOS ที่จัดการ AirDrop หยุดทำงาน จุดที่น่ากังวลคือบริการนี้ยังรองรับฟีเจอร์อื่นด้วย ทั้ง AirPlay, Handoff, Universal Clipboard, Continuity Camera และ NameDrop ทำให้การล่มเพียงครั้งเดียวส่งผลกระทบต่อฟีเจอร์เหล่านี้ทั้งหมดพร้อมกัน ช่องโหว่ที่ง่ายที่สุดในสามตัวนี้ต้องการเพียงคำขอที่ผิดรูปแบบเพียงครั้งเดียวส่งไปยังเครื่องที่ตั้งค่า AirDrop รับไฟล์จาก “ทุกคน” หากส่งข้อความล่มซ้ำ ๆ ทุกสองวินาที ฟีเจอร์เหล่านี้จะหยุดทำงานตลอดเวลาที่ผู้โจมตียังคงโจมตีต่อเนื่อง ในการทดสอบของนักวิจัยพบว่าไม่มีการโอนไฟล์ AirDrop ใดสำเร็จเลยระหว่างที่การโจมตีกำลังดำเนินอยู่ ช่องโหว่อีกสองตัวมีความร้ายแรงกว่า เพราะอยู่ใน framework ที่ Apple ใช้ร่วมกันหลายระบบ โดยตัวที่ร้ายแรงที่สุดคือช่องโหว่ stack overflow ใน XML property list parser ของ Foundation framework ซึ่งเกิดจากไฟล์ขนาดเล็กที่มีโครงสร้างซ้อนกันราว 200 ชั้น แอปใดก็ตามของ Apple ที่เปิดไฟล์ประเภทนี้จากแหล่งที่ไม่น่าเชื่อถือก็อาจเจอปัญหาเดียวกันได้ ครอบคลุมทั้ง macOS, iOS, watchOS, tvOS และ visionOS นักวิจัยยืนยันว่าโจมตีได้จริงบน macOS 15.7.4, macOS 26.3, iOS 18.x และ iOS 26.3 ส่วน iOS 16 รุ่นเก่าไม่ได้รับผลกระทบ
สำหรับฝั่ง Android ช่องโหว่สองตัวใน Quick Share ของ Samsung เปิดทางให้ผู้โจมตีข้ามขั้นตอนการจับมือ (handshake) ที่ควรจะป้องกันเซสชันไว้ได้ ตัวหนึ่งทำให้อุปกรณ์ที่ยังไม่ผ่านการยืนยันตัวตนสามารถเริ่มควบคุมการเชื่อมต่อได้ก่อนที่จะมีการเข้ารหัสใด ๆ เกิดขึ้น อีกตัวหนึ่งทำให้ข้อความควบคุมบางส่วนส่งผ่านแบบไม่เข้ารหัสแม้จะมีเซสชันที่ปลอดภัยอยู่แล้วก็ตาม ผู้โจมตีที่อยู่ใน Wi-Fi เครือข่ายเดียวกันสามารถใช้ช่องโหว่นี้บังคับให้การเชื่อมต่ออยู่ในสถานะ “ยอมรับแล้ว” ค้างไว้ หรือทำให้เซิร์ฟเวอร์คืนค่า IP และ port ที่ผู้โจมตีกำหนดเองได้ แม้ยังไม่มีการพิสูจน์ว่าใช้ขโมยไฟล์ได้จริง แต่ก็ทำลายการป้องกันที่ระบบสัญญาไว้ทั้งหมด ส่วนช่องโหว่ที่ร้ายแรงที่สุดในกลุ่มนี้อยู่ใน Quick Share สำหรับ Windows ของ Google เป็นบั๊กหน่วยความจำแบบ use-after-free ที่เกิดเมื่อการเชื่อมต่อสองรายการชนกันในจังหวะที่พอดี ซึ่งนักวิจัยระบุว่ามีความเป็นไปได้ที่จะพัฒนาไปสู่การรันโค้ดอันตรายได้ เนื่องจากฟีเจอร์ป้องกันของ Windows ที่ชื่อ Control Flow Guard ถูกปิดอยู่ในแอปนี้ แม้จะยืนยันเพียงว่าทำให้เกิดการล่ม แต่ยังไม่ได้สร้าง exploit ที่ใช้งานได้จริง
รายละเอียดช่องโหว่
จุดที่น่าสังเกตคือ Quick Share สำหรับ Windows เคยมีปัญหาลักษณะนี้มาก่อนแล้ว โดยบริษัท SafeBreach เคยรายงานช่องโหว่ลูกโซ่ที่นำไปสู่การรันโค้ดอันตรายรวม 10 ตัวในปี 2024 (CVE-2024-38271 และ CVE-2024-38272) และกลับมารายงานอีกครั้งในปี 2025 เพื่อเลี่ยงการแก้ไขของ Google (CVE-2024-10668) การพบบั๊ก use-after-free ครั้งใหม่นี้จึงเป็นอีกครั้งที่ส่วนประกอบเดียวกันถูกแพตช์แล้วถูกตรวจสอบซ้ำอีก ที่น่าสนใจยิ่งกว่าคือซอร์สโค้ดของโปรแกรมมีคอมเมนต์ยอมรับถึงบั๊กเดิมในจุดเดียวกันนี้ไว้ว่า “We had a bug here, caused by a race with EncryptionRunner” ซึ่งการแก้ไขที่เขียนขึ้นมาเพื่อจัดการปัญหานั้นกลับนำไปสู่ช่องโหว่ประเภทเดียวกันอีกครั้ง ข้อจำกัดสำคัญของช่องโหว่ทั้งหมดนี้คือระยะการโจมตี เนื่องจากเป็นการโจมตีแบบ local ไม่ใช่การโจมตีผ่านอินเทอร์เน็ตทั่วไป ผู้โจมตีต้องอยู่ในระยะประมาณ 10 ถึง 30 เมตร หรืออยู่ในเครือข่ายท้องถิ่นเดียวกัน แต่ในสถานที่แออัดอย่างสนามบิน รถไฟ หรืองานประชุม ผู้โจมตีคนเดียวก็ยังสามารถเข้าถึงอุปกรณ์จำนวนมากพร้อมกันได้
ผลกระทบต่อไทย
AirDrop และ Quick Share เป็นฟีเจอร์ที่คนไทยจำนวนมากใช้แชร์ไฟล์ระหว่างอุปกรณ์ Apple และ Android ในชีวิตประจำวัน โดยเฉพาะในสถานที่แออัดอย่างสนามบิน รถไฟฟ้า หรือศูนย์การประชุมที่มีคนอยู่รวมกันจำนวนมาก ซึ่งเป็นสภาพแวดล้อมที่เอื้อต่อการโจมตีลักษณะนี้เป็นพิเศษ ผู้ใช้ที่เปิดตั้งค่ารับไฟล์จาก “ทุกคน” มีความเสี่ยงสูงสุดที่จะถูกก่อกวนให้ฟีเจอร์แชร์ไฟล์ล่มโดยไม่รู้ตัวว่ามีใครกำลังโจมตีอยู่ใกล้ ๆ แม้ความเสี่ยงจะจำกัดอยู่ในระยะไม่กี่สิบเมตร แต่ในพื้นที่สาธารณะที่มีคนพลุกพล่านของไทยก็ถือเป็นความเสี่ยงที่ไม่ควรมองข้าม
คำแนะนำ
ผู้ใช้ Mac หรือ iPhone ควรติดตั้งอัปเดตล่าสุดของ Apple ทันที ซึ่ง iOS และ macOS เวอร์ชัน 26.5.2 เผยแพร่แล้วเมื่อวันที่ 29 มิถุนายน และควรตั้งค่า AirDrop เป็น “Contacts Only” หรือปิดไว้เลยแทนที่จะเปิดเป็น “Everyone” ซึ่งเป็นค่าที่ช่องโหว่เหล่านี้ต้องอาศัยจึงจะโจมตีได้ สำหรับผู้ใช้ Quick Share ควรหลีกเลี่ยงการเปิดให้ผู้อื่นมองเห็นแบบ “Everyone” ในช่วงเวลาที่ไม่ได้กำลังรับไฟล์อยู่ และควรอัปเดตแอป Quick Share บน Windows ทันทีหลังจาก Google ปล่อยแพตช์แก้ไขออกมาแล้ว องค์กรที่มีพนักงานใช้อุปกรณ์เหล่านี้ในที่สาธารณะควรให้ความรู้เรื่องการตั้งค่าความปลอดภัยของฟีเจอร์แชร์ไฟล์ไร้สายเหล่านี้ด้วย
