Jouko Pynnönen z finské společnosti Klikki Oy, která se zabývá bezpečností zařízení objevil velmi závažnou chybu ve Webkit. Webkit je renderovací jádro prohlížeče Safari, který funguje převážně na operačních systémech iOS a OS X. Bezpečnostní chyba, kterou Jouko objevil se přitom týkala všech, tedy zhruba jedné miliardy zařízení.

Problém byl v tom, jak zpracovává Safari URL přes FTP. Prohlížeč umožňuje normálně přes FTP stahovat HTML dokumenty ve formátu:

ftp://uzivatel:heslo

Problém byl však u kódování hesla. Za určitých okolností údajně šlo obejít některá bezpečnostní omezení, což umožnilo případnému útočníkovi získat cookie z jiné domény. Vzhledem k tomu, že cookie uchovávají například údaje o session, mohl se útočník dostat k vašemu účtu.

Jouko objevil že následující URL:

ftp://user%40podvrhnutá.cz%2Fstránka.html%23 () apple com/

stáhla data z adresy podvrhnutá.cz/stránka.html místo apple.com. Ovšem prohlížeč si myslel, že data stahuje z apple.com, čímž získal útočník přístup k document.domain a document.cookie. Tedy server na podvrhnutá.cz může pracovat s cookie, které má uložené prohlížeč uživatele pro doménu apple.com. Pomocí javascript je tak možné například modifikovat obsah cookie. Zajímavější je samozřejmě data spíše odcizit. Mohou totiž obsahovat osobní informace.

Jouko Pynnönen chybu nahlásil 27. ledna 2015 a byla opravena začátkem dubna (CVE-2015-1126). Celkem se mu jí podařilo úspěšně otestovat na Safari 7.0.4 pro OS X 10.9.3, Safari pro iPhone 3GS na iOS 6.1.6, Safari na iOS 8.1 simulator a Safari 5.1.7 na Windows 8.1. Chyba tak existovala poměrně dlouhou dobu bez povšimnutí a ohrozila téměř jednu miliardu zařízení.