Apple heeft in iOS 9.2.1 een beveiligingslek gedicht, waarmee het mogelijk was de cookies van een gebruiker te stelen, met deze cookies is het vervolgens mogelijk in te loggen in allerlei online diensten van de gebruiker. Het lek was al in juni 2013 bij Apple gemeld en is nu dan eindelijk gedicht.

Apple heeft er ruim de tijd voorgenomen om het lek te dichten en het beveiligingsbedrijf Skycure heeft veel geduld gehad met het geheim houden van het lek. Het bedrijf meldde in juni 2013 het probleem bij Apple en normaliter maken beveiligingsbedrijven het lek dan na een maand of drie publiekelijk bekend. Skycure heeft het lek nu gepubliceerd, nu Apple het gedicht heeft, maar dat is wel ruim 2,5 jaar later.

Met het beveiligingslek was het mogelijk om de cookies van de gebruiker te onderscheppen, hiervoor moet het het slachtoffer wel inloggen op een ogenschijnlijk openbaar en betrouwbaar WiFi-netwerk dat in handen is van de kwaadwillende. Dit kan bijvoorbeeld door een open wifi-netwerk van een restaurant te simuleren.

Vervolgens kunnen via het netwerk de cookies worden onderschept en kan zelfs via een speciale inlogpagina malware worden geïnstalleerd op de toestellen. in iOS 9.2.1 is dit niet langer mogelijk en heeft Apple een beveiliging toegepast.