Hekerji so namreč po poročanju BBC-ja škodljivo kodo namestili na določene spletne strani, te pa so nato ob obisku z Applovim telefonom diskretno nanj naložile škodljivo kodo, s pomočjo katere so nato lahko dostopali do kontaktov, fotografij in drugih podatkov na telefonu.
Googlova analiza je pokazala, da so imele spletne strani, na katerih so pasti za Applove telefone, na tisoče obiskov vsak teden. "Preprost obisk spletne strani je zadostoval, da je zlorabljeni strežnik napadel napravo in, če je bil uspešen, je nanjo naložil vsadek za spremljanje," je zapisal Ian Beer, britanski strokovnjak za kibernetsko varnost.
Beer je z ekipo ugotovil, da so napadalci pri tem izrabili kar 12 ločenih varnostnih pomanjkljivosti na Applovih napravah. Večina se jih je nanašala na Safari, ki je Applova privzeta aplikacija za brskanje po spletu.
Ko je bila koda uspešno nameščena, pa so lahko hekerji dostopali do številnih podatkov na telefonu, med drugim so s pomočjo GPS navigacije vedeli tudi, kje se telefon nahaja. Hekerji so lahko spremljali tudi podatke aplikacij, kot so Instagram, WhatsApp in Telegram, če jih je lastnik telefona uporabljal. Ranljive so bile skoraj vse različice operacijskega sistema od iOS 10 do najnovejšega iOS 12, trdi Beer.
Googlova ekipa je Apple o tem obvestila 1. februarja letos in šest dni pozneje je Apple že ponudil posodobitev, s katero so odpravili omenjene luknje, ki so jih hekerji izrabljali skoraj dve leti. BBC je prosil Apple za odziv, a ga niso želeli podati.