Quick Share più sicuro: Google adotta standard AirDrop per Android

Un cambiamento apparentemente minore nell’interfaccia, ma che nasconde una storia più complessa fatta di vulnerabilità scoperte, patch incomplete e una corsa alla sicurezza che è diventata un imperativo commerciale.

Il 12 febbraio 2026, Google ha annunciato un aggiornamento di sicurezza per Quick Share, il suo strumento di condivisione file per Android, che sembra prendere in prestito una pagina dal manuale di Apple. La modifica più evidente è la rimozione dell’opzione di visibilità «Tutti» senza limiti di tempo, sostituita da un’impostazione temporanea di dieci minuti.

Un cambiamento apparentemente minore nell’interfaccia, ma che nasconde una storia più complessa fatta di vulnerabilità scoperte, patch incomplete e una corsa alla sicurezza che è diventata un imperativo commerciale.

Perché Google sente ora il bisogno di allineare il proprio strumento a una funzionalità di AirDrop che Apple ha introdotto anni fa?

La risposta non è solo nella ricerca di una migliore esperienza utente, ma in una serie di fallimenti di sicurezza che hanno costretto la compagnia a rivedere le fondamenta stesse del servizio.

La nuova impostazione «Tutti per 10 minuti» è solo la punta dell’iceberg di un ridisegno completo delle opzioni di privacy e sicurezza di Quick Share. Gli utenti potranno ora scegliere tra «I tuoi dispositivi», per la condivisione tra device collegati allo stesso account Google, «Contatti», per condividere solo con persone nella rubrica quando lo schermo è sbloccato, e appunto la modalità temporanea per tutti.

Un modello che ricalca da vicino il comportamento di AirDrop di Apple, dove l’esposizione massima è sempre stata temporanea per prevenire connessioni indesiderate.

Non si tratta di semplice emulazione, bensì di un tardivo riconoscimento che lasciare una porta aperta indefinitamente in un servizio che utilizza connessioni peer-to-peer è un rischio inaccettabile.

Abbiamo costruito il supporto di interoperabilità di Quick Share per AirDrop con gli stessi rigorosi standard di sicurezza che applichiamo a tutti i prodotti Google.

— Dave Kleidermacher, VP, Platforms Security & Privacy, Google

La dichiarazione di Kleidermacher, rilasciata in un post sul blog della sicurezza di Google lo scorso novembre, suona come una promessa di robustezza.

Ma il percorso che ha portato a questo aggiornamento è costellato di problemi. All’inizio del 2024, i ricercatori di SafeBreach Labs scoprirono dieci vulnerabilità in Quick Share per Windows e Android, tra cui la possibilità di scrivere file in remoto senza autorizzazione e forzare connessioni Wi-Fi.

Google rilasciò delle patch e assegnò due CVE, ma nell’aprile 2025 gli stessi ricercatori dimostrarono che le correzioni erano bypassabili, permettendo ancora l’invio di file senza il consenso del ricevente.

Questo storico di falle, alcune delle quali critiche, spiega la spinta aggressiva verso un approccio «secure by design» che ora include test di esperti indipendenti.

La battaglia tecnica dietro lo scambio di file

Dietro la semplice interfaccia di un click per condividere, si combatte una battaglia tecnologica fatta di protocolli, crittografia e scelte di linguaggio di programmazione.

La mossa più interessante di Google non è l’imitazione dell’interfaccia, ma la decisione di riscrivere parti critiche del livello di interoperabilità con AirDrop utilizzando Rust, un linguaggio di programmazione «memory-safe». Questo, tecnicamente, elimina intere classi di vulnerabilità legate alla gestione della memoria, come i buffer overflow, che sono stati per decenni una delle principali fonti di falle di sicurezza.

È un cambio di paradigma implementativo che parla di una lezione imparata a caro prezzo.

Anche il modello di sicurezza dichiarato è multi-strato: tutti i trasferimenti Quick Share sono protetti da crittografia end-to-end e richiedono l’approvazione dell’utente prima che un file venga ricevuto. Per gli utenti che attivano la Protezione Avanzata di Android, potrebbe essere introdotto un ulteriore step di conferma da parte del mittente, chiudendo una falla che permetteva di avviare invii da un telefono sbloccato senza verifica.

Inoltre, se entrambi i dispositivi sono loggati sullo stesso account Google, il file viene accettato automaticamente, ottimizzando l’esperienza nell’ecosistema.

Dall’altra parte della barricata, il sistema di Apple mostra una architettura altrettanto complessa. AirDrop utilizza i servizi iCloud per autenticare gli utenti: quando un utente accede, un’identità RSA a 2048 bit viene memorizzata sul dispositivo e, quando AirDrop è abilitato, viene creato un hash basato su email e numeri di telefono associati all’account.

La connessione finale avviene via Wi-Fi peer-to-peer ed è cifrata con TLS.

Nonostante questo, anche AirDrop ha avuto i suoi problemi, con ricercatori che in passato hanno sfruttato falle nel protocollo per raccogliere numeri di telefono e email di dispositivi vicini.

Interoperabilità come campo di battaglia (e marketing)

L’altro grande annuncio che accompagna l’aggiornamento di sicurezza è il supporto completo per l’interoperabilità bidirezionale tra Quick Share e AirDrop. Questo significa che utenti Android e iOS potranno finalmente scambiarsi file in modo nativo, senza dover ricorrere a app di terze parti o a soluzioni alternative.

Google sottolinea che questa interoperabilità è stata costruita con rigorosi standard di sicurezza e che il canale di condivisione sicuro elimina intere classi di vulnerabilità.

È una mossa che va oltre la semplice funzionalità: è una dichiarazione di maturità e una presa di posizione nel mercato.

In un mondo ideale, la connessione dovrebbe essere diretta, peer-to-peer, con i dati che non passano mai da server centrali, le operazioni che non vengono loggate e nessuna informazione extra condivisa.

L’API tecnica alla base, il Nearby Connections API di Google, utilizza una combinazione di Bluetooth, BLE e Wi-Fi per stabilire connessioni ad alta larghezza di banda e a bassa latenza, completamente cifrate. La sfida ingegneristica è notevole, soprattutto nel garantire che questo scambio cross-platform non introduca nuove superfici di attacco.

Tuttavia, la domanda che rimane aperta è se questa corsa alla sicurezza e all’interoperabilità sia dettata principalmente dal bene dell’utente o dalla necessità di recuperare un ritardo competitivo e di risanare una reputazione tecnica incrinata.

Limitare la modalità «Tutti» a dieci minuti è un ovvio miglioramento, ma arriva dopo anni in cui la modalità perennemente aperta era un rischio noto.

La riscrittura in Rust e i test indipendenti sono pratiche eccellenti, ma sono spesso l’indicatore di una reazione a problemi già esplosi, piuttosto che di una progettazione iniziale impeccabile.

L’eleganza tecnica della soluzione proposta – con il suo mix di crittografia, linguaggio memory-safe e controlli granulari – è innegabile e rappresenta un passo avanti significativo.

Ma la storia recente di Quick Share serve da monito: in un’epoca in cui la condivisione di file è sia un’utilità fondamentale che un potenziale vettore di attacco, la sicurezza non può essere una feature da aggiungere in seguito.

Deve essere il principio fondante.

L’adozione di standard più rigorosi e trasparenti è una vittoria per tutti gli utenti, a prescindere dal sistema operativo che scelgono.

Il vero test, però, non sarà nelle specifiche tecniche o negli annunci di blog, ma nella capacità di questo nuovo approccio di resistere al prossimo scrutinio dei ricercatori di sicurezza.

La partita, dopotutto, si gioca nella memoria del dispositivo, bit per bit.