De Messages-dienst voor OS X bevatte een kwetsbaarheid, waardoor het mogelijk was om de gehele bestands- en gespreksgeschiedenis van een gebruiker te bemachtigen door deze op een link te laten klikken. Apple heeft in maart een patch verspreid om het lek te dichten.
De kwetsbaarheid, die het nummer cve-2016-1764 toegewezen heeft gekregen, was mogelijk doordat Messages gebruikmaakt van een embedded versie van de WebKit-engine. Daarnaast rendert de dienst elke uri als een selecteerbare html-link, zo schrijven de beveiligingsonderzoekers van Bishop Fox. Doordat er geen lijst met toegestane protocollen in Messages aanwezig is, kon een aanvaller een kwaadaardige javascript-link naar het slachtoffer sturen, zoals in de video hieronder wordt gedemonstreerd. Daardoor was een potentiële aanvaller in staat om javascript-code uit te voeren.
Omdat Messages geen same-origin policy hanteert konden er met een kwaadaardig script via een XHR GET-verzoek bepaalde bestanden opgevraagd worden. Om de bestands- en gespreksgeschiedenis van een gebruiker te bemachtigen was het wel nodig om de gebruikersnaam te achterhalen, waaronder deze in OS X is geregistreerd. Aan de hand daarvan kon de aanvaller het volledige pad naar de chat-database te genereren. Volgens de onderzoekers was dit echter geen probleem, omdat de ingelogde gebruiker eenvoudig opgevraagd kon worden vanuit de OS X-applicatie-sandbox. Op die manier was het mogelijk om de volledige bestands- en gespreksgeschiedenis naar een zelfgekozen server te sturen.
Als het automatisch doorsturen van sms-berichten was ingeschakeld kon door deze xss-aanval ook de geschiedenis van een iPhone achterhaald worden. Het was niet mogelijk om bijvoorbeeld malware via deze manier te installeren. De code van de bijbehorende exploit is door de onderzoekers beschikbaar gesteld op GitHub en er zouden geen aanwijzingen zijn dat de kwetsbaarheid daadwerkelijk door kwaadwillenden is gebruikt.