Dat meldt Der Spiegel op basis van documenten van klokkenluider Edward Snowden.
GCHQ zou de iPhone zelf niet hebben kunnen infiltreren, maar data van de telefoon werd weggesluisd wanneer die aan een besmette computer werd gekoppeld. Zo was het niet nodig om de beveiliging van de iPhone te kraken.
Daarnaast werd gebruik gemaakt van de UDID, een serienummer dat voor elke iPhone en iPad uniek is. Dat UDID kon via een besmette computer worden afgelezen, vervolgens kon het internetgedrag van een doelwit worden gevolgd.
GCGQ misbruikte daarvoor onder meer een lek in Safari en informatie uit Google-advertentienetwerk Admob. Die toonden ook het UDID en zo kon in kaart worden gebracht waar de betreffende iPhone-gebruiker naar zocht.
Het betreffende GCHQ-document stamt uit 2010, vermoedelijk werkt de beschreven methode inmiddels niet meer. Sinds 2012 krijgen ontwikkelaars fors minder inzicht in de UDID-nummers. Apple accepteert geen apps meer die het nummer nodig hebben, en biedt amper inzicht meer aan derden.