Μια ευπάθεια διαφυγής sandbox που επηρεάζει τα iPhone και τα iPad που εκτελούν iOS 16.2 beta 1 ή παλαιότερες εκδόσεις. Το proof-of-concept (POC) εκμεταλλεύεται τις αδυναμίες των itunesstored και bookassetd daemons, επιτρέποντας στους εισβολείς να τροποποιούν ευαίσθητα αρχεία στις περιοχές διαμερισμάτων δεδομένων της συσκευής που προστατεύονται συνήθως από μη εξουσιοδοτημένη πρόσβαση.
Η ερευνήτρια Kim μοιράστηκε τις λεπτομέρειες σε μια ανάρτηση ιστολογίου στις 20 Οκτωβρίου 2025, τονίζοντας ότι τα ευρήματα προέρχονται από τις προσπάθειές της αντίστροφης μηχανικής και προτρέποντας τους αναγνώστες να επαληθεύσουν ανεξάρτητα.
Η ευπάθεια εξαρτάται από μια κακόβουλα δημιουργημένη βάση δεδομένων «downloads.28.sqlitedb», η οποία ξεγελάει τον αποθηκευμένο δαίμονα ώστε να κατεβάσει και να τοποθετήσει μια δευτερεύουσα βάση δεδομένων, «BLDatabaseManager.sqlite», σε ένα κοντέινερ ομάδας κοινόχρηστου συστήματος.
Ενώ το itunesstored λειτουργεί κάτω από αυστηρά όρια sandbox, το επόμενο στάδιο αξιοποιεί το bookasset έναν δαίμονα που χειρίζεται τις λήψεις iBooks με ευρύτερα δικαιώματα.
MobileGestalt Exploit
Αυτό επιτρέπει εγγραφές σε διαδρομές που ανήκουν σε κινητά, όπως /private/var/mobile/Library/FairPlay/, /private/var/mobile/Media/, ακόμη και κρυφές μνήμες συστήματος όπως /private/var/containers/Shared/SystemGroup/systemgroup.com.apple.mobilegestaltcache/Library.compleeestalches.
Σε μια επίδειξη σε ένα iPhone 12 με iOS 16.0.1, ο Kim τροποποιήθηκε την προσωρινή μνήμη MobileGestalt για να πλαστογραφήσει τη συσκευή ως iPod touch (μοντέλο iPod9,1), αποδεικνύοντας την εμβέλεια του exploit.
Η διαδικασία απαιτεί προετοιμασία του αρχείου προορισμού σε τροποποιημένη μορφή EPUB, συμπιεσμένο χωρίς συμπίεση του αρχείου τύπου mime και φιλοξενία υποστηρικτικών στοιχείων όπως το iTunesMetadata.plist σε έναν διακομιστή.
Οι εισβολείς πρέπει στη συνέχεια να χρησιμοποιήσουν εργαλεία όπως το 3uTools ή το afcclient για να εισάγουν τις βάσεις δεδομένων στο /var/mobile/Media/Downloads/, ακολουθούμενα από στοχευμένες επανεκκινήσεις για την ενεργοποίηση των λήψεων.
Η αναμενόμενη συμπεριφορά σταματά τις εγγραφές σε μη εξουσιοδοτημένες διαδρομές, αλλά το ελάττωμα επιτρέπει τροποποιήσεις εκτός εάν ο προορισμός ελέγχεται από τη ρίζα.
Ο Kim παραθέτει πολυάριθμες εγγράψιμες τοποθεσίες, συμπεριλαμβανομένων των κρυφών μνήμων και των καταλόγων πολυμέσων, επιτρέποντας δυνητικά την επιμονή, την παραβίαση της διαμόρφωσης ή την εξαγωγή δεδομένων.
Το exploit απαιτεί φυσική ή συνδεδεμένη πρόσβαση για την τοποθέτηση της βάσης δεδομένων, αλλά μόλις ρυθμιστεί, θα μπορούσε να διευκολύνει πιο εξελιγμένες επιθέσεις σε συσκευές που έχουν υποστεί jailbroken ή παραβιάζονται.
Η Apple δεν έχει σχολιάσει ακόμη και η Kim σημειώνει ότι το ζήτημα μπορεί να επιδιορθωθεί άμεσα. Παρέχει βασικά αρχεία GitHub για εκπαιδευτική χρήση, τονίζοντας ότι η έρευνα είναι μόνο για μάθηση και όχι για παράνομες δραστηριότητες.
Καθώς το iOS εξελίσσεται με πιο αυστηρό sandboxing, αυτό το POC υπογραμμίζει τις συνεχείς προκλήσεις στην απομόνωση του δαίμονα. Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν για σχετικούς δείκτες, όπως ανώμαλες καταχωρίσεις βάσης δεδομένων στα αρχεία καταγραφής λήψεων.
