Biztonsági szakemberek eddig két iPhone-kártevőt detektáltak. Az ikee-féle kártevő egy kísérletező kedvű ifjú agyszüleménye, és inkább bosszant, mintsem jelent valódi fenyegetettséget: mindössze lecseréli a készülék háttérképét Rick Astley fotójára, illetve lezárja az SSH-portot. A november végén Hollandiában detektált féreg azonban már veszélyes, hiába tekintjük rendkívül izoláltnak: a kártevő átirányítja az ING Direct online banki szolgáltatás ügyfeleit az eredetihez megszólalásig hasonlító felületre, és ott a szükséges belépési adatokat kéri a potenciális áldozatoktól. Később lehetővé teszi az okostelefonhoz történő távoli kapcsolódást, és a tulajdonos tudta nélkül zombit csinálhat az iPhone-ból.

Ám ahhoz, hogy a fertőzés bekövetkezzen, több feltételnek is teljesülnie kell. Egyrészt, e két támadási metódus csak jailbreakelt, azaz egy illegális eljárással szoftveresen feltört készülékeken működik, amelyet annak érdekében végeztetnek el a tulajdonosok, hogy a mobil futasson a gyártó Apple által jóvá nem hagyott alkalmazásokat is. Itt jön képbe a második számú feltétel, nevezetesen a nyitott SSH-port, mely automatikusan létrejön a jailbreakelés mintegy mellékhatásaként, és ahol egy ismert, alapértelmezett jelszó van beállítva – a magára hagyott default password pedig annyit tesz, mintha egy társasház összes ajtaját ugyanaz a kulcs nyitná, és senki sem kívánná lecserélni a zárat.

Nicholas Seriot, egy svájci független iPhone-fejlesztő azonban úgy véli, a mindenféle utólagos beavatkozástól mentes készülékek is éppen elég biztonsági kockázatot jelentenek, csupán a megfelelő metódussal kell kivitelezni a támadásokat. Prezentációjában – némi bevezető után – bemutatja saját kísérleti alkalmazását, a SpyPhone-t, mely egyebek mellett kiolvassa a telefonkönyvet és a névjegyzéket, megszerzi a hívószámot, átfésüli a böngészési előzményeket, naplózza a bepötyögött karaktereket vagy éppen nyomon követi a felhasználó útját a GPS- vagy wifimodul segítségével.

Seriot szerint a koncepció önmagában nem jelent direkt fenyegetettséget jelszavakra vagy e-mailekre nézve (értsd: ilyen információkat ellopni nem képes), viszont a kiszemezgetett adatok nagy érdeklődésre tarthatnak számot spammerek, marketingesek vagy üzleti versenytársak körében (is). A fejlesztő arra is kitér, hogy az Apple hiába utasít el potenciálisan veszélyes alkalmazásokat (a vállalat 10 százalékra taksálja a nem megfelelő szoftverek arányát), mivel a cég programcenzorait át lehet ejteni olyan egyszerű technikákkal, mint az adatfolyam-titkosítás vagy a spyware funkció késleltetett aktiválása.

A kémkedés sajnos egyáltalán nem számít újdonságnak. Egy felhasználó november elején beperelte az iPhone-ra rendkívül népszerű játékprogramokat készítő egyik fejlesztőgárdát, mivel szerinte a szoftverek az ügyfél beleegyezése nélkül, fű alatt rögzítik annak telefonszámát. A keresetben az olvasható, hogy a Storm8 nevű cég mindegyik terméke egy titkos kódot tartalmaz, amely megkerüli az iPhone beépített biztonsági rendszerét, vagyis backdoor-metódussal „hozzáfér, begyűjti és továbbítja a hívószámokat”.