Door een kwetsbaarheid in iOS was het voor adblockers mogelijk om bij te houden welke websites gebruikers bezochten en dit door te sturen naar de ontwikkelaar van de betreffende adblocker. Het probleem speelde ook bij gebruikers die van Private Browsing gebruik maakten.

Dat stelt onderzoeker en app-ontwikkelaar Luke Li. Hij liet Apple op 30 september van dit jaar een werkende aanval zien. Ruim twee maanden later heeft Apple het probleem via iOS 9.2 en Safari 9.0.2 opgelost. Adblockers voor iOS zijn beperkter dan de versies voor de desktop. De mobiele adblocker gebruikt alleen een JSON-bestand dat de regels bevat over welke content moet worden geblokkeerd door Safari.

Na het leveren van het JSON-bestand hebben adblockers geen invloed meer op de ervaring van Safari-gebruikers, aangezien het de verantwoordelijkheid van de browser is om de content, zoals beschreven in de aangeleverde regels, te blokkeren. Deze werkwijze moet ervoor zorgen dat de surfgeschiedenis niet toegankelijk is voor app-ontwikkelaars. In het geval van iOS werd de inhoud van het JSON-bestand niet goed gefilterd. Daardoor kon een kwaadaardige adblocker toch bijhouden welke websites de gebruiker bezocht.

Na op 30 september te zijn ingelicht kwam Apple gisteren met een update in de vorm van iOS 9.2, waarin het probleem is verholpen. Li ontwikkelt zelf een adblocker voor iOS genaamd Refine en stelt dat zijn adblocker gebruikers niet heeft gevolgd, maar er niet kan worden uitgesloten dat andere adblockers wel van de exploit gebruik hebben gemaakt. De onderzoeker adviseert iOS-gebruikers dan ook om snel naar iOS 9.2 te upgraden.