Ein Sicherheitsforscher hatte schon 2008 einen Exploit geschrieben. iTunes war durch den Fehler für die Installation von Spyware zu gebrauchen. Eine britische Firma bot einsatzbereite Spionageprogramme im Internet an.

Apple hat mehr als drei Jahre benötigt, um eine Lücke in der Aktualisierungsfunktion von iTunes zu schließen. Das Desktop-Programm für die Verwaltung von Medien und von Apples Mobilgeräten konnte dadurch für die Verteilung von Spyware genutzt werden. Dem Wall Street Journal zufolge nutzten das unter anderem Regierungen wie die mittlerweile gestürzte in Ägypten, um die Bevölkerung zu überwachen.

Eine einsatzfertig für die Spionage über iTunes auf dem Schwarzmarkt erhältliche Software war demnach FinFinisher, das eine britische Firma namens Gamma vertrieb. Sie wurde als falsches iTunes-Update auf die Rechner der Zielpersonen geschmuggelt.

Der auf Cyberverbrechen spezialisierte Journalist Brian Krebs schreibt, die Lücke habe der argentinische Forscher Francisco Amato schon 2008 Apple gemeldet. Amato konnte sie damals auch schon nachweisen, da er ein Penetrationswerkzeug namens „Evilgrade“ entwickelt hatte, das sie nutzte. Apple habe den Empfang der Meldung bestätigt, den Forscher aber bis Oktober 2011 nicht kontaktiert, heißt es. Zu diesem Zeitpunkt fragte das Unternehmen nach seinem Namen und Titel, um ihn als Entdecker in den Anmerkungen zum iTunes-Patch 10.5.1 zu erwähnen. Dieses Update erschien Mitte November.

Krebs zufolge reagierte Apple auch auf ein umfangreiches Update von Evilgrade im Oktober 2010 nicht. Seine Reaktionszeit, die sonst etwa drei Monate betrage, habe diesmal drei Jahre überstiegen. Vermutlich sei nur die Windows-Version von iTunes betroffen. Alle Versuche, den Fehler unter Mac OS zu replizieren, seien gescheitert.