Vào ngày 4 tháng 11 năm 2014, Tổ chức biên giới điện tử (EFF) đã liệt kê iMessage vào "Thẻ điểm nhắn tin an toàn", cho điểm 5 trên 7 điểm. Nó nhận được điểm vì đã liên lạc được mã hóa trong quá trình, có mã hóa thông tin liên lạc bằng khóa mà nhà cung cấp không có quyền truy cập (mã hóa đầu cuối), có bảo mật liên lạc trong quá khứ nếu các khóa bị đánh cắp (bảo mật chuyển tiếp), có thiết kế bảo mật của họ tài liệu tốt, và có một kiểm toán bảo mật độc lập gần đây. Nó bị mất điểm vì người dùng không thể xác minh danh tính của người liên hệ và vì mã nguồn không mở để đánh giá độc lập. Vào tháng 9 năm 2015, Matthew Green lưu ý rằng, vì iMessage không hiển thị dấu vân tay chính để xác minh ngoài băng tần, người dùng không thể xác minh rằng một cuộc tấn công giữa chừng đã không xảy ra. Bài đăng cũng lưu ý rằng iMessage sử dụng trao đổi khóa RSA. Điều này có nghĩa là, trái ngược với những gì mà bảng điểm của EFF tuyên bố, iMessage không có tính năng bảo mật về phía trước.

Vào ngày 7 tháng 8 năm 2019, các nhà nghiên cứu từ Project Zero đã trình bày 6 khai thác không tương tác với nhau trong iMessage có thể được sử dụng để chiếm quyền kiểm soát thiết bị của người dùng. Sáu khai thác này đã được sửa trong iOS 12.4, được phát hành vào ngày 22 tháng 7 năm 2019, tuy nhiên vẫn còn một số khai thác chưa được tiết lộ sẽ được vá trong bản cập nhật trong tương lai.