Dopo aver sollecitato Apple, il ricercatore ha deciso di divulgare il problema di sicurezza nel browser Safari
Nelle ultime ore, il ricercatore Pawel Wylecial ha rivelato un bug di Safari dopo essere che Apple lo ha informato che per la patch avrebbe dovuto attendere fino alla primavera del 2021.
In Aprile, il fondatore del team di ricercatori REDTEAM.PL, ha informato Cupertino riguardo il problema, facendo notare che avrebbe potuto far trapelare le informazioni degli utenti ed essere sfruttato per rubare dati sia su iOS che su Mac.
Il bug si trova nell’API Web Share. Esso è un nuovo standard che consente la condivisione di collegamenti e file da un browser tramite applicazioni di terza parti. Secondo Wylecial, le condivisioni possono includere anche file locali e quindi la possibilità di condividere dati sensibili.
Il team ha definito il problema come a basso rischio perché è necessaria l’interazione dell’utente per facilitare la potenziale fuga di dati. Tuttavia, gli utenti potrebbero non essere consapevoli di condividere dati locali, poiché i file allegati possono essere in gran parte nascosti durante il processo.
Il vero problema in tutto ciò è la gestione della segnalazione da parte di Apple. Infatti la società ha riconosciuto che stava lavorando ad una risoluzione, ma quest’ultima non è ancora arrivata.
Wylecial all’inizio di agosto ha informato la società che il bug sarebbe stato divulgato pubblicamente il 24 agosto. Apple ha chiesto di bloccare la pubblicazione di tali informazioni, dicendo che il problema sarebbe stato risolto in un aggiornamento di sicurezza nella primavera del 2021. Perciò, trovando irragionevole la sequenza temporale proposta, Wylecial ha deciso di dettagliare il bug sul suo blog.
A questo punto Apple è costretta a rilasciare una patch nel breve per prevenire attacchi agli utenti.
