tr4m0ryp/ios-26-activation-research
GitHub: tr4m0ryp/ios-26-activation-research
一份记录 iOS 26.3 激活锁 31 个固件漏洞与 BAA 注入 PoC 的研究文档合集。
Stars: 2 | Forks: 0
# iOS 26 激活锁 -- 已记录的漏洞
本仓库记录了影响 iOS 26.3 激活锁子系统的 **31 个固件级漏洞**,作为 Apple 安全赏金提交材料整理并发布,供安全研究社区使用。
该仓库以文档为主:每个发现均包含自包含的撰写内容,涵盖漏洞描述、证据、重现步骤以及建议的修复方向。PoC **VU#346053**(未认证的 `humb.apple.com/humbug/baa` BAA 注入向量)作为支持材料一并提供。
## 漏洞查找位置
**从这里开始:** [`ranking_vulnb.md`](ranking_vulnb.md) -- 所有 31 个发现按 6 个等级从高到低排列,包含严重性、验证状态和一句话摘要。
**每个发现的撰写内容:** [`documentation/bounty/`](documentation/bounty/) -- 共 28 个编号的 Markdown 文件(`NN-.md`)。每个文件自包含,无需按顺序阅读。
### 头条(等级 1 -- 严重,内核 RCE / 任意内存访问)
| # | 发现 | 状态 |
|---|------|------|
| 21 | [内核中 IPv6 扩展报头双重释放](documentation/bounty/21-ipv6-double-free-kernel.md) -- 网络可达,无需前提条件 | 已确认 |
| 22 | [AppleAVD 视频解码器整数溢出](documentation/bounty/22-appeavd-integer-overflow.md) -- 匹配 CVE-2022-32788(NSO 佩加索斯) | 已确认 |
| 27 | [PPL `pmap_cs_allow_invalid_internal` + OOP-JIT 类型混淆](documentation/bounty/27-ppl-oopjit-type-confusion.md) -- arm64e PPL 绕过 | 已确认 |
| 28 | [`AppleBasebandPCIUserClient` 原始物理内存读/写](documentation/bounty/28-baseband-pci-physical-rw.md) | 已确认 |
请参阅 [`ranking_vulnb.md`](ranking_vulnb.md) 获取等级 2-6(其余 27 个发现)。
## 仓库结构
```
ranking_vulnb.md -- ranked index of all 31 findings (start here)
documentation/bounty/ -- 28 per-finding writeups
scripts/captive_portal/ -- VU#346053 BAA injection PoC implementation
scripts/exploit_tests/ -- fuzzers and supporting test scripts
```
## 测试环境
在 iPhone 15 Pro(iPhone16,1)、iOS 26.3(构建版本 23D127)上复现发现,设备通过 USB 连接并处于激活锁定状态。UDID、ECID 和主机网络地址已在提交材料中脱敏。
## 参考链接
- [VU#346053 -- iOS 激活漏洞(CERT/CC)](https://kb.cert.org/vuls/id/346053)
- [原始完整披露(2025 年 6 月)](https://seclists.org/fulldisclosure/2025/Jun/27)
- [Apple 安全赏金计划](https://security.apple.com/bounty/)
## 免责声明
仅限授权安全研究(Apple 安全赏金计划)。测试设备为研究者本人所有。对未拥有设备复现 PoC 在大多数司法管辖区属于非法行为。
标签:BAA注入, CVE-2022-32788, humbug端点, iOS 26.3, iOS安全, JIT绕过, PoC, PPL绕过, 内存破坏, 内核RCE, 内核漏洞, 双释放, 固件漏洞, 安全悬赏, 情报收集, 整数溢出, 暴力破解, 漏洞分级, 漏洞文档, 漏洞研究, 激活锁, 物理内存读写, 类型混淆, 网络可达漏洞, 苹果安全, 视频解码器溢出, 逆向工具, 防御加固