一家移动安全厂商发表的最新研究报告详细介绍了包括iPhone在内的智能手机如何容易受到在公共Wi-Fi线路上实施的中间人攻击。

据SMobile Systems发表的报告称，连接到没有加密的Wi-Fi热点的智能手机用户很容易被有知识的攻击者使用现有的工具攻破。这篇研究报告的作者使用这些工具拦截了几个不同型号的智能手机发出的用户名/口令组合。

这些测试使用一台配置软件工具的笔记本电脑拦截连接到Wi-Fi接入点的智能手机之间的通信，然后绕过SSL。然后使用这个信息访问各种电子邮件账户。同样的信息还能用来访问在线银行账户或者其它信息。在这篇完整的报告中可以找到关于这种攻击的更多的细节。

Smobile测试了诺基亚的N95智能手机、宏达电的运行Windows Mobile操作系统的Tilt手机、宏达电运行Android操作系统的G1手机以及配置最新防火墙的3GS版iPhone。在每一种手机的测试中，用户都不知道自己的信息已经被攻破了。

使用的工具的例子包括：Arpspoof，这种工具通过伪造地址解析协议对目标主机的回应，把局域网中的目标主机的数据包重新导向同一个局域网中的预定的主机;SSLStrip，劫持HTTP通信；Ettercap，一种嗅探工具，进行拦截和记录；Wireshark，用作数据包嗅探器的一种网络协议分析器。另一种名为“webspy”(网络间谍)的工具能够让攻击者找到和打开受害人访问的任何网页。

使用这种方法，攻击者会有效地告诉受害者的设备把全部通信发送到攻击者的机器(笔记本电脑)上。然后，攻击者机器把这些请求转发到Wi-Fi热点。攻击计算机捕捉所有的通信并且能够修改或者中断正在使用的连接。使用绕过SSL的方法，每当受害者访问电子邮件账户或者其它账户的时候，登录证书就会以不加密的文本方式显示在攻击者的计算机上。

这篇研究报告的作者警告称，智能手机用户要找出和识别提供充分的加密技术的应用程序以保护秘密的信息或者隐身信息。这篇报告的作者指出，有做这些工作的应用程序，但是，这种应用程序很少。其目标应该是在客户应用程序和目标服务器之间进行端对端的加密。缺少这种加密，用户需要知道嗅探者能够看到他们的信息。