11 月 16 日消息，消息源 @khanhduytran0 昨日（11 月 15 日）在 X 平臺發(fā)布視頻，展示了在一臺 iPhone 17 Pro Max 上，通過修改 MobileGestalt 子系統(tǒng)，運行蘋果 iPadOS 系統(tǒng)。

IT之家注：MobileGestalt 是蘋果 iOS 系統(tǒng)內(nèi)部的一個底層服務(wù)，像一個“信息中心”，負(fù)責(zé)向 App 提供關(guān)于設(shè)備硬件、配置和狀態(tài)的各種信息。這次的漏洞就是通過攻擊這個服務(wù)來實現(xiàn)的。

研究人員 Hana Kim 公布了一項針對 iOS MobileGestalt 子系統(tǒng)的全新沙盒逃逸漏洞（代號 bl_sbx），該漏洞影響 iOS 26.2 Beta 1 及更低版本，蘋果公司已在 iOS 26.2 Beta 2 中修復(fù)。

對于 iOS 18 至 iOS 26 系統(tǒng)版本越獄長期處于停滯狀態(tài)的社區(qū)而言，這無疑是一個里程碑式的進展，它為后續(xù)的系統(tǒng)定制和功能解鎖打開了新的大門。

該漏洞的核心在于繞過 iOS 的沙盒機制。iOS 系統(tǒng)通過沙盒隔離應(yīng)用和服務(wù)，防止它們訪問核心系統(tǒng)組件。MobileGestalt 作為一個向應(yīng)用提供設(shè)備信息的子系統(tǒng)，成為了此次攻擊的切入點。

漏洞通過操縱 itunesstored（iTunes 商店服務(wù)）和 bookassetd（圖書資源服務(wù)）這兩個高權(quán)限服務(wù)，成功實現(xiàn)“沙盒逃逸”，讓代碼能夠以遠(yuǎn)超普通應(yīng)用的權(quán)限運行。一旦權(quán)限提升，越獄工具便能修改系統(tǒng)文件、解鎖被禁用的 API，從而實現(xiàn)深度的系統(tǒng)定制。

沙盒逃逸是指 iOS 系統(tǒng)為了安全，會給每個 App 一個獨立的“小房間”（沙盒），讓它們無法影響系統(tǒng)或其他 App。沙盒逃逸就是指利用漏洞從這個“小房間”里跑出來，從而獲得更高的系統(tǒng)操作權(quán)限。

這項漏洞的實際應(yīng)用價值極高，能為用戶帶來多項此前無法實現(xiàn)的功能。

• 首先，它可以移除 iOS 對非官方應(yīng)用側(cè)載的數(shù)量限制（通常為 3 個）。
• 其次，用戶將有機會在 iPhone 上啟用類似 iPadOS 的多任務(wù)處理界面，如分屏和懸浮窗口。
• 此外，該漏洞還能為劉海屏設(shè)備開啟靈動島 UI、為歐盟用戶解鎖被限制的 iPhone 鏡像功能，并激活 Misaka 等知名插件集的隱藏特性。

不過需要注意，此漏洞無法實現(xiàn)完整的 root 權(quán)限越獄，也無法支持 TrollStore 等特定工具。

漏洞的公布迅速在開發(fā)者社區(qū)引發(fā)連鎖反應(yīng)。開發(fā)者 Duy Tran 已成功在 iPhone 17 Pro Max 上運行了 iPadOS，而多個知名工具（如 Misaka、Nugget）的開發(fā)者也宣布將利用新漏洞開發(fā)新產(chǎn)品。

對于希望利用此漏洞的用戶，關(guān)鍵在于“固件簽名驗證窗口”。由于漏洞已被新版系統(tǒng)修復(fù)，用戶必須在蘋果停止對舊版固件簽名之前，盡快將設(shè)備降級或恢復(fù)至 iOS 26.1 等版本。在進行任何操作前，強烈建議用戶檢查固件簽名狀態(tài)并完整備份個人數(shù)據(jù)，以規(guī)避潛在風(fēng)險。