De Poolse onderzoeker Pawel Wylecial meldde in april van dit jaar een Safari-bug bij Apple, maar is niet onder de indruk van het vervolgproces. Nadat Apple aan hem meldde dat ze bezig waren met de analyse van het probleem volgde radiostilte, op verzoeken voor een status-update werd niet meer gereageerd.

Begin augustus liet hij Apple daarom weten dat hij het op 24 augustus zou publiceren. Apple vroeg hem om dat niet te doen, het probleem zou in een update in de lente van 2021 opgelost gaan worden. Omdat Pawel Wylecial dit veel te laat vond heeft hij inmiddels de details van de bug in een blog-post op het web gezet. In de video hieronder is de bug te zien, maar om te begrijpen wat er gebeurt helpt het om eerst blog-post te lezen.


Wat hij hier gebruikt is Apple’s Web Share API, een nieuwe standaard waarmee het mogelijk is om links, bestanden en andere data te delen. In de methode van Pawel Wylecial worden locale bestanden hierbij meegenomen, iets wat de gebruiker mogelijk helemaal niet door heeft.

Hij classificeert deze bug zelf trouwens zelf als ‘low risk’, want er is interactie van de gebruiker zelf nodig.

Mogelijk is dat ook de reden dat er bij Apple niet zo’n grote prioriteit aan gegeven werd. Maar voor de meeste gevallen van phishing geldt dat ook, en keer op keer blijkt dat er toch nog steeds behoorlijk wat mensen zijn die daarin trappen. En daarbij gaat het beslist niet alleen om mensen die niets van computers afweten, in tegendeel.

Apple heeft nu toch een bonus programma voor als je een bug vindt? Nu hij gepubliceerd heeft, krijgt hij nog wel centjes?

Dat is niet waarschijnlijk. Hij heeft nu immers de regels van Apple overtreden. Met een beetje pech zal Apple zelfs zijn developer account opheffen.