Egy EvilWorkspace néven közzétett proof-of-concept (PoC) súlyos problémára hívta fel a figyelmet az iOS rendszerben. A felfedezett sebezhetőség a Launch Services Daemon komponens nem megfelelő hívóellenőrzéséből ered, és az iOS 18.5 Beta 4 verziójáig minden rendszert érint. Az Apple jelenleg még nem adott ki javítást és nem rendelt CVE azonosítót ehhez a hibához, a sebezhetőség súlyossága miatt sürgető lenne egy frissítés kiadása.
A hiba lehetővé teszi, hogy egy iOS alkalmazás önmagát újraindítsa minden bezárási kísérlet után. A felhasználó pedig nem tudja sem leállítani, sem eltávolítani az érintett appot. A támadás nem igényel különleges jogosultságokat vagy entitásokat, így akár egy App Store-on átjutott alkalmazás is kihasználhatja a hibát.
A sebezhetőség a MobileCoreServices keretrendszer LSApplicationWorkspace osztályában található, azon belül az openApplicationWithBundleID: metódus hibás viselkedéséből fakad. Ez a metódus felelős az alkalmazások elindításáért a rendszerben. Az alkalmazás egy háttérszálon folyamatosan hívja saját magára az openApplicationWithBundleID: függvényt. Ezután egy rövid késleltetés után hívja az exit(0) függvényt, amellyel bezárja magát. A Launch Services Daemon azonban nem ellenőrzi, hogy a hívást végző alkalmazás még aktív-e, így az open kérés feldolgozása továbbra is megtörténik. Ennek eredményeként az alkalmazás újraindul. Akkor is, ha azt a felhasználó már lezárta vagy megpróbálta eltávolítani. Ez a hiba egy perzisztens önindítási ciklust tesz lehetővé, amely teljesen automatizált, és nem igényel semmilyen felhasználói interakciót.
A kutató szerint ez a működés egészen az iOS 7 bevezetéséig vezethető vissza, amikor az Apple bevezette a multitaskingot, de nem módosította megfelelően a Launch Services Daemon viselkedését ehhez igazodva. A most részletezett hiba ennek az öröksége. A jelenlegi állapotban a támadás teljesen működőképes a PoC leírása szerint, bár az Insikt Group egyelőre nem validálta a kód működését.
A EvilWorkspace repó a publikálás időpontjában 19 „csillagot” kapott és három forkot indítottak belőle, ami azt mutatja, hogy a közösség részéről jelentős az érdeklődés. A forráskód szabadon elérhető, így a támadók és biztonsági kutatók egyaránt elemezhetik.
Mivel a hiba jelenleg nem javított, javasolt kerülni az ismeretlen forrásból származó iOS alkalmazások telepítését. Vállalati környezetben érdemes figyelni az alkalmazások nem szándékolt újraindulására, és szükség esetén MDM-megoldásokkal korlátozni az érintett alkalmazásokat.
https://x.com/seanistethered/status/1918682633770332424