Een Duits bedrijf dat spyware voor overheden ontwikkelde, gebruikte een beveiligingslek in iTunes om computers met spyware te infecteren. De FinFisher spyware is ontwikkeld door Gamma International en zou in staat zijn om Skype-gesprekken af te luisteren. In maart werden documenten ontdekt waaruit bleek dat het bedrijf de spyware aan de Egyptische autoriteiten had aangeboden Of die hier ook gebruik van maakten is onbekend.

Wel is nu duidelijk geworden dat FinFisher een recent gepatcht iTunes-lek misbruikte. De mediaspeler stuurde voor versie 10.5.1 onversleutelde HTTP requests naar Apple om te controleren of er nog nieuwe updates beschikbaar waren. In het geval de Apple Software Update voor Windows niet geïnstalleerd was, waarschuwde iTunes de gebruiker voor een update.

Man-in-the-middle
Een aanvaller die tussen het slachtoffer en Apple in zat, zou deze waarschuwing kunnen manipuleren en een valse link in het bericht verstoppen. Een gebruiker die op de waarschuwing klikte zou zo zelf de spyware op zijn systeem installeren. Apple heeft het probleem nu opgelost door het gehele proces via SSL te laten lopen. Om de aanval uit te voeren en het verkeer van een doelwit om te leiden, zou het Duitse bedrijf medewerking van een internetprovider nodig hebben.

Gamma International gaf volgens het Duitse blad Der Spiegel in september een presentatie tijdens de Cyberwarfare Europe conferentie in Berlijn, waar "wapens" voor digitale oorlogsvoering werden gedemonstreerd. Het bedrijf zorgde ervoor dat geen enkele journalist tijdens de presentatie aanwezig was. Uit een lijst van bezoekers blijkt dat er onder andere afgevaardigden van de Verenigde Arabische Emiraten, Indonesië en Maleisië aanwezig waren.

Botnet
Onlangs stelde The Register nog dat het beveiligingslek in iTunes vermoedelijk ook door het Ghost Click botnet zou zijn gebruikt. Dat was gebaseerd op een verklaring van de FBI. Daarin staat dat de malware gebruikers die op een link van de officiële iTunes website klikten, naar een andere website doorstuurde. Het is echter onduidelijk of het hier om meldingen binnen iTunes gaat of dat het zoekresultaten betreft. Het is bekend dat de DNS Changer Trojan ook zoekresultaten manipuleerde.