Het gaat om programmeerfouten in de e-mail applicatie en de Safari Web browser op de telefoon.

Omdat de e-mailapplicatie afbeeldingen standaard laadt en vertoont, kunnen aanvallers op deze manier mogelijk virussen installeren. Daarnaast kan een spammer op die manier de melding kan krijgen dat de e-mail is geopend en dat het e-mail adres dus daadwerkelijk in gebruik is, waarna nog veel meer spam zal volgen.

Het is tegenwoordig gebruikelijk dat e-mail applicaties afbeeldingen blokkeren, wanneer de e-mail afkomstig is van een onbekende bron. Op de iPhone gebeurt dit dus niet en Raff raadt gebruikers van de iPhone dan ook aan om het e-mail programma niet te gebruiken of zéér voorzichtig te zijn met het openen van mail die afkomstig is van onbekenden.

Url afgebroken

De tweede fout schuilt in de manier waarop de e-mailapplicatie url's toont. Berichten kunnen worden getoond als platte tekst of als opgemaakt html-pagina. Wanneer voor de laatste optie wordt gekozen, kan een url-vertoond worden die in werkelijkheid naar een ander adres doorverwijst. Op die manier kunnen phishers de url van een kwaadaardige website 'verstoppen'. Bij browser op een pc wordt het echte adres onderin het browservenster getoond, maar bij de iPhone past de volledige url niet in het venster.

Aanvallers kunnen deze fout misbruiken door hun site een extreem lange domeinnaam te geven. De Safari browser voor de pc en Mac lijdt aan hetzelfde probleem. Wanneer de link in Safari wordt geopend, springt de cursor naar het eind van de url. Om te kunnen zien waarmee de url begint, moet de gebruiker dus zelf eerst terugscrollen in de adresbalk. Ook dit leidt tot ernstige beveiligingsrisico's, schrijft Raff op zijn blog, waarbij het ontbreken van een phishing-filter in Safari de problemen verergert.

Apple reageert niet

De onderzoeker was aanvankelijk niet van plan om de publiciteit op te zoeken. Hij meldde de problemen al twee maanden geleden aan Apple. Het bedrijf beloofde de problemen te zullen verhelpen, maar inmiddels zijn er al verschillende updates voor de iPhone uitgebracht, zonder dat er iets aan de genoemde problemen is gedaan. De publicatie is dan ook een laatst poging: "Door deze problemen niet te verhelpen stelt Apple zijn gebruikers bloot aan onnodig risico's. Nu weten iPhone-gebruikers tenminste dat ze voorzichtig moeten zijn".