Dat melden onderzoekers van FireEye.
De backdoor zou bewust door ontwikkelaars zijn toegevoegd, zodat ze na publicatie van een app advertenties kunnen tonen. De ontdekte code is zo open, dat het echter ook mogelijk is om een iPhone of iPad binnen te dringen.
Volgens de onderzoekers heeft de gekoppelde advertentieserver tot nu toe nog geen misbruik gemaakt van de kwetsbaarheid. Zou de beheerder dit wel doen, dan is het vanuit de apps mogelijk om geluid en screenshots van de smartphone te bemachtigen. Ook kan de locatie van een smartphone worden opgevraagd.
Het zou ook mogelijk zijn om via de backdoor apps buiten de App Store om te installeren. Gebruikers zouden dan wel op een installatieknop moeten drukken.
Op 4 november waren er 2.846 apps geïdentificeerd die de kwetsbaarsheid bevatten. Apple is op 21 oktober op de hoogte gesteld door de onderzoekers.