Il ricercatore di sicurezza Pawel Wylecial ha rivelato un bug di Safari dopo essere stato informato da Apple che una patch correttiva sarebbe arrivata solo nella primavera del 2021.
Wylecial, fondatore del gruppo di ricerca polacco REDTEAM.PL, ha scoperto il problema e informato per la prima volta Apple ad aprile, spiegando che il bug di sicurezza può far trapelare informazioni sugli utenti ed essere sfruttato per rubare dati sia su iOS che su macOS.
Il bug è stato scovato nella API Web Share di Apple, un nuovo standard che consente la condivisione di collegamenti, file e altri dati da un browser tramite applicazioni di terze parti. Secondo Wylecial, l’implementazione di Apple supporta lo schema file:,il che significa che i messaggi condivisi possono in alcuni casi includere file direttamente dal sistema locale.
Wylecial definisce il problema come a basso rischio perché è comunque necessaria l’interazione dell’utente. Lo stesso ricercatore fa però notare che gli utenti potrebbero non essere consapevoli di condividere dati locali, poiché i file allegati possono essere resi “invisibili” durante il processo. Inoltre, sembra che il problema più urgente sia la gestione della segnalazione di bug da parte di Apple.
Apple ha riconosciuto che stava analizzando il problema circa una settimana dopo aver ricevuto l’avviso iniziale di Wyliecial, ma le successive richieste di aggiornamenti di stato sono rimaste senza risposta.
Wylecial ha quindi informato la società che il bug sarebbe stato divulgato pubblicamente il 24 agosto. Apple ha chiesto di non divulgare nulla, aggiungendo che il problema sarebbe stato risolto in un aggiornamento di sicurezza nella primavera 2021. Una sequenza temporale considerata troppo eccessiva, tanto che Wylecial ha deciso di condividere già da ora tutti i dettagli del bug.