Das Ausmaß der von Jamf festgestellten Sicherheitsmängel betrifft sowohl private als auch dienstlich ausgegebene Geräte. In 53 Prozent der Organisationen war mindestens ein Gerät mit einem kritisch veralteten Betriebssystem im Einsatz, 18 Prozent hatten Mitarbeiter, die sich mit riskanten Hotspots verbanden. Eines von 850 Geräten war per Jailbreak manipuliert.

Acht Prozent der Geräte hatten auf einen Phishing-Link geklickt. Auf ein Unternehmen mit 100 Beschäftigten umgerechnet bedeutet das nach Jamfs Rechnung acht Mitarbeiter mit ernsthaftem Phishing-Risiko.

Auch Apps verschärfen das Problem. Jamf analysierte am 31. Dezember 2025 die jeweils aktuelle Version von 135 verbreiteten Apps. Rund 86 Prozent davon wiesen bekannte Sicherheitslücken auf, nur 14 Prozent galten als minimal riskant – manche Apps enthielten mehrere Schwachstellen. Das Risiko ist damit selbst in den neuesten Versionen alltäglich genutzter Geschäfts- und Privat-Apps verbreitet.

Ein neues, wachsendes Risiko ist laut Bericht die unbemerkte Verbreitung von Shadow AI. Weder Nutzer noch Sicherheitsteam bemerken ihre Präsenz oder Aktivität; sie gelangt still und unsichtbar über Drittanbieter-Apps auf die Geräte. Besonders betroffen sind quergeladene Apps, doch der Bericht hält das Phänomen auch bei Apps aus offiziellen Stores für nahezu sicher. „Shadow AI ist absolut ein wachsendes Risiko, das besser gesteuert werden muss", warnt Covington. „Aber ich glaube nicht, dass wir auch nur am Anfang stehen, das vollständig in den Griff zu bekommen."

Die Forschung zeige, dass Angreifer auf ausgefeilte Methoden setzen. Zu den bekannteren Spähprogrammen gegen mobile Geräte im Jahr 2025 zählt Jamf Predator, Pegasus, Graphite, Dante, Landfall und Spyrtacus; für 2026 kommen bereits Coruna und DarkSword hinzu. Einige wurden ursprünglich von kommerziellen Spyware-Firmen vor allem für staatliche Überwachung entwickelt, werden aber auch von finanziell motivierten Kriminellen genutzt.

Beliebt sind Zero-Click-Angriffe, besonders gegen Journalisten und Führungskräfte. CVE-2025-43300 mit dem Schweregrad 10.0 kann allein durch das Verarbeiten eines Bildes zu Speicherbeschädigung in iOS führen. CVE-2025-24201, ebenfalls mit Schweregrad 10.0, kann Speicher beschädigen oder Angreifern erlauben, Daten zu verändern und unerwarteten Code auszuführen.

Bei Android nennt der Bericht für 2025 unter anderem CVE-2025-10585 (9.8), die Speicherüberschreibungen, Abstürze und womöglich Codeausführung ermöglicht; CVE-2025-48543 (8.8), die eine lokale Rechteausweitung ohne zusätzliche Ausführungsrechte erlauben kann; sowie CVE-2024-53104 (7.8), die zu Schreibzugriffen außerhalb der Grenzen führen kann.

Die meisten dieser Risiken seien abwehrbar, doch einzelne Nutzer ergriffen nicht immer die nötigen Schritte. Betriebssystemhersteller patchen die Schwachstellen und veröffentlichen häufig Updates – ein einziges kompromittiertes Gerät kann jedoch die Datenbestände eines Unternehmens gefährden. Vielen Unternehmen sei zudem Umfang und Komplexität ihres Gerätebestands nicht bewusst. Nötig seien ein Geräteinventar, Wissen über die Konfiguration sowie fortlaufend funktionierende Kontrollpunkte für Updates und Sicherheitskorrekturen, so Covington.