iOS 16.2 beta 1 veya önceki sürümleri çalıştıran iPhone ve iPad’leri etkileyen bir sanal alan kaçış güvenlik açığı. Kavram kanıtı (POC), itunesstored vebookassetd arka plan programlarındaki zayıflıklardan yararlanarak, saldırganların aygıtın genellikle yetkisiz erişime karşı korunan Veri bölümü alanlarındaki hassas dosyaları değiştirmesine olanak tanır.
Araştırmacı Kim, 20 Ekim 2025 tarihli bir blog yazısında ayrıntıları paylaşarak, bulguların tersine mühendislik çalışmalarından kaynaklandığını vurguladı ve okuyucuları bağımsız olarak doğrulamaya çağırdı.
Güvenlik açığı, itunesstored arka plan programının “BLDatabaseManager.sqlite” adlı ikincil bir veritabanını indirip paylaşılan bir sistem grubu kapsayıcısına yerleştirmesi için kandıran kötü amaçlı hazırlanmış bir “downloads.28.sqlitedb” veritabanına dayanıyor.
itunesstored katı sanal alan sınırları altında çalışırken, sonraki aşama, iBooks indirmelerini daha geniş izinlerle yöneten bir arka plan programı olan kitaplıklardan yararlanır.
MobilGestalt İstismarı
Bu, /private/var/mobile/Library/FairPlay/, /private/var/mobile/Media/ gibi mobil cihazlara ait yollara ve hatta /private/var/containers/Shared/SystemGroup/systemgroup.com.apple.mobilegestaltcache/Library/Caches/com.apple.MobileGestalt.plist gibi sistem önbelleklerine yazma olanağı sağlar.
İOS 16.0.1 çalıştıran bir iPhone 12’deki demoda Kim, MobileGestalt önbelleğini değiştirerek cihazı bir iPod touch (model iPod9,1) olarak taklit ederek istismarın erişim alanını kanıtladı.
İşlem, hedef dosyanın değiştirilmiş bir EPUB formatında hazırlanmasını, mime türü dosyası sıkıştırılmadan sıkıştırılmasını ve iTunesMetadata.plist gibi destekleyici varlıkların bir sunucuda barındırılmasını gerektirir.
Saldırganlar daha sonra veritabanlarını /var/mobile/Media/Downloads/ dizinine enjekte etmek için 3uTools veya afcclient gibi araçları kullanmalı ve ardından indirmeleri tetiklemek için hedefli yeniden başlatmalar yapmalıdır.
Beklenen davranış, yetkisiz yollara yazmayı durdurur, ancak kusur, hedef kök tarafından kontrol edilmediği sürece değişikliklere izin verir.
Kim, önbellekler ve medya dizinleri de dahil olmak üzere çok sayıda yazılabilir konumu listeleyerek kalıcılığa, yapılandırmada değişiklik yapılmasına veya veri sızmasına olanak tanıyor.
Bu istismar, veritabanını yerleştirmek için fiziksel veya bağlı erişim gerektirir, ancak bir kez kurulduktan sonra jailbreak’li veya güvenliği ihlal edilmiş cihazlara daha karmaşık saldırıları kolaylaştırabilir.
Apple henüz yorum yapmadı ve Kim, sorunun yakın zamanda düzeltilebileceğini belirtti. GitHub’da eğitim amaçlı kullanım için temel dosyalar sağlıyor ve araştırmanın yasa dışı faaliyetler için değil, yalnızca öğrenme amaçlı olduğunu vurguluyor.
iOS daha sıkı korumalı alanla geliştikçe, bu POC arka plan programı izolasyonunda devam eden zorlukların altını çiziyor. Güvenlik ekipleri, indirme günlüklerindeki anormal veritabanı girişleri gibi ilgili göstergeleri izlemelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
