Aviv Raff claimt op zijn weblog dat diverse iPhone-applicaties kwetsbaar zijn voor lekken. Het gaat om twee lekken in de mailcliënt op de iPhone, Mail en een lek in de webbrowser, Safari.
Het betreft een lek in Mail, welke ervoor zorgt dat kwaadwillenden een URL kunnen ‘nabootsen’. Zelfs in de browser, Safari, lijkt de URL nog op wat de verzender wil dat het lijkt. De verzender kan bijvoorbeeld een URL als PayPal nabootsen, terwijl de gebruiker eigenlijk naar een phisher-website gaat.
Het gevonden lek in Safari en een gevonden lek in Mail zorgen hiervoor. De lekken zijn aanwezig in versie 1.1.4 en 2.0 van firmware, het kan zijn dat eerdere versies ook kwetsbaar zijn. Aviv Raff brengt nog geen details over de lekken naar buiten; hij laat Apple eerst de lekken dichten.
Apple heeft inmiddels de lekken in Mail bevestigt, de lekken in Safari worden momenteel onderzocht. De ontdekker van de bugs raadt gebruikers aan om extra alert te zijn en alleen op URLs te klikken die van een vertrouwelijke afzender komen. Wanneer men toch de URL wil bezoeken, is overtypen de beste oplossing.
Aviv Raff heeft tevens een spam-lek gevonden in Mail voor de iPhone. Deze applicatie zou voor veel spam kunnen zorgen. Raff raadt gebruikers aan om Mail niet te gebruiken, totdat het lek gedicht is. Ook bij dit lek zijn er geen details vrijgegeven, Apple krijgt de kans om het eerst te dichten. Het spamlek is, aldus Raff, te danken aan simpele ontwerpfout.