De Verenigde Arabische Emiraten heeft in 2016 en 2017 iPhones van honderden activisten, diplomaten en buitenlandse leiders gehackt. Alleen door het versturen van een sms was het mogelijk om malware te installeren. Er was geen interactie van de gebruiker nodig, zo meldt persbureau Reuters op basis van documenten en vijf voormalige medewerkers van de eenheid die de aanvallen uitvoerde.

Om de aanval uit te voeren werd er gebruik gemaakt van een tool genaamd Karma, waarbij alleen het telefoonnummer of e-mailadres van een doelwit moest worden opgegeven. Deze tool, die de VAE bij een buitenlandse leverancier had gekocht, maakte gebruik van een kwetsbaarheid in iMessage en mogelijk ook andere onderdelen van iOS. Ook als iPhone-gebruikers geen gebruik van iMessage maakten konden ze nog steeds via het programma op afstand worden aangevallen.

Via de tool zou de inlichtingendienst van de VAE foto's, e-mails, sms-berichten en locatiegegevens van doelwitten in handen hebben gekregen, alsmede wachtwoorden waarmee andere accounts konden worden gecompromitteerd. Volgens Reuters is het onduidelijk of de exploit die Karma gebruikt nog steeds werkt. De voormalige medewerkers die werden geïnterviewd stelden dat Apple eind 2017 een beveiligingsupdate heeft uitgebracht waardoor de aanvalstool veel minder effectief is geworden.

Vorig jaar september verscheen er een bericht over de Israëlische surveillanceleverancier NSO Group die iPhones op afstand zou kunnen overnemen, waarbij ook alleen het telefoonnummer van een doelwit volstond.