開発者によると、Apple が知らず知らずのうちに承認した悪質な iPhone アプリは、ジェイルブレイクされていない iPhone でも攻撃する可能性があるというが、セキュリティ専門家は、これは大したニュースではないと述べている。
「iPhoneのセキュリティの仕組みを理解しているなら、これは驚くことではないと思う」と、ハッカーが電話を乗っ取る可能性のあるSMSの脆弱性を7月に実証したインディペンデント・セキュリティ・エバリュエーターズのアナリスト、チャーリー・ミラー氏は述べた。
スイスのiPhone開発者、ニコラス・セリオ氏は、「SpyPhone」という概念実証アプリ(PDF)について説明した。このアプリは、連絡先を掘り起こして変更したり、過去のウェブ検索履歴を調べたり、GPSやWi-Fiの位置情報を保存したり、パスワード以外の携帯電話に入力した内容をすべてコピーしたりすることができる。(ちなみに、このアプリはApp Storeからダウンロードできない。)
セリオット氏が説明するデータは、パスワードや電子メールに対する直接の脅威ではないが、マーケティング担当者、スパマー、窃盗犯、競合他社、法執行官にとって関心を引く可能性があると同氏は言う。
もちろん、Appleが意図的にそのようなアプリケーションをApp Storeに公開することはないだろう。Appleは、申請の10%を「不適切」という理由で却下しており、場合によっては個人情報を盗もうとするケースもあると述べている。しかし、セリオット氏によると、App Storeの審査担当者を騙すのは可能だという。スパイウェアの起動を遅らせたり、ペイロードを暗号化したり、実行時に設定を変更したりすることで、それが可能になるという。
セキュリティ研究者で『The Mac Hacker's Handbook』の著者でもあるディノ・ダイ・ゾヴィ氏は、インタビューでセリオット氏が提起した懸念は妥当だと述べた。Appleの審査担当者は、例えばアドレス帳を読み取ってその内容をスパマーに送信するようなアプリケーションは簡単に排除できる。しかし、ダウンロード後にWebサーバーからスクリプトを実行するなど、それほど直接的ではない方法を用いるアプリケーションを検出するのは困難だ。また、App Storeの審査担当者も人間であり、他のどのプラットフォームよりも多くのアプリを承認しなければならないというプレッシャーにさらされている。
ダイ・ゾヴィ氏とミラー氏はともに、セリオット氏のレポートはAndroidのようなオープンプラットフォームとは異なるAppleの哲学を提示していると指摘した。
Appleはデータアクセスに関して画一的なアプローチをとっているため、ゲームをダウンロードしたとしても、技術的には連絡先やキーパッドの入力情報にアクセスできてしまう。Androidでは、ユーザーはアプリケーションのインストール時にアクセスされるデータについて説明を受けるものの、審査プロセスはそれほど厳格ではない。Seriot氏の調査では、Appleのアプローチ下で悪意のあるアプリが利用できる可能性のあるあらゆるものを基本的に列挙しており、Appleの検閲だけがそれを阻んでいると指摘している。
「基本的に、どのような体験を望むかはユーザー次第です」とダイ・ゾヴィ氏は述べた。「この種のスパイウェアのリスクが高まることで得られる大きな自由を求めるのか、それとも、Appleがこれらのアプリケーションを監視することで得られる(たとえ不完全ではあるものの)安心感を求めるのか?」
