Проблема похожа на ту, что уже давно известна — address bar spoofing, подмена реальной адресной строки, чтобы ввести в заблуждение посетителя и заставить его ввести свой логин/пароль на странице злоумышленника.
Известный ранее способ был рассчитан на невнимательность — адресную строку просто подменяли картинкой, а новая дыра серьезнее, подмененную страницу, если вы уже на нее зашли, от настоящей не отличишь, даже будучи очень внимательным.
Связано это с каким-то проблемами в обработке JavaScript. Apple в курсе, проблему должны решить при следующем обновлении системы. Пока рекомендуют не нажимать подозрительные кнопки.
Кому интересно — вот тут демонстрация проблемы. Заходить надо из MobileSafari, iOS 5.1., дальше нажать кнопку Demo, после чего откроется новое окно с www.apple.com в адресной строке. На самом деле это все тот же сайт.