Secondo un post sul blog, Wylecial, che ha fondato il gruppo di ricerca polacco REDTEAM.PL, ha scoperto e informato per la prima volta Apple del problema ad Aprile, notando che il problema può far trapelare informazioni sugli utenti ed essere sfruttato per rubare dati su iOS e Mac.
Il bug si trova nell’API Web Share di Apple, un nuovo standard che consente la condivisione di collegamenti, file e altri dati da un browser tramite applicazioni di terze parti, riporta ZDNet.
Secondo Wylecial, l’implementazione di Apple supporta lo schema file:, il che significa che i messaggi condivisi possono in alcuni casi includere file dal sistema locale.
Il ricercatore, definisce il problema come a basso rischio perché è necessaria l’interazione dell’utente per facilitare la potenziale fuga di dati. Nota, tuttavia, che gli utenti potrebbero non essere consapevoli di condividere dati locali, poiché i file allegati possono essere resi in gran parte “invisibili” durante il processo.
Come sottolineato da ZDNet, un problema più urgente è la gestione della segnalazione di bug da parte di Apple.
Il produttore di iPhone, ha riconosciuto che stava analizzando il problema circa una settimana dopo aver ricevuto l’avviso iniziale di Wyliecial, ma le successive richieste per gli aggiornamenti di stato sono rimaste senza risposta.
Wylecial, all’inizio di Agosto, ha informato la società che il bug sarebbe stato divulgato pubblicamente il 24 Agosto. Apple ha chiesto ritardare l’annuncio, dicendo che il problema sarebbe stato risolto in un aggiornamento di sicurezza della primavera 2021.
Trovando irragionevole la sequenza temporale proposta, Wylecial ha deciso di condividere tutti i dettagli del bug sul suo blog.
Leggi o Aggiungi Commenti