JGoyd/iOS-Attack-Chain-CVE-2025-31200-CVE-2025-31201

# CVE-2025-31200 & CVE-2025-31201 | iMessage 零点击 RCE 利用链 ## 摘要 本仓库记录了关于影响 iOS 18.x 的零点击远程利用链的研究。通过 iMessage 传送的一个格式错误的 MP4 音频文件会触发： 1. **CoreAudio 中的堆损坏 (CVE‑2025‑31200)** — 位于 AudioConverterService AAC 解码过程中。 2. **通过 AppleBCMWLAN/AMPDU 处理实现的内核提权 (CVE‑2025‑31201)** — 导致内核代码执行。 在后续测试中，观察到了对 CryptoTokenKit 签名操作的滥用，即在无交互提示的情况下调用 Secure Enclave 支持的密钥。Apple 已在 iOS 18.4.1 中修复了这些漏洞。 [VirusTotal 分析（已验证 Hash）](https://www.virustotal.com/gui/file/0de03d7fe9dc023d5e4824322195dcc2359ec15acd714ade01f50488214c2d60) ## 已验证的行为 - **CVE‑2025‑31200 (CoreAudio)** — AudioConverterService AAC 解码器因格式错误的 `inMagicCookie` 导致堆损坏。零点击，无需用户交互。 - **CVE‑2025‑31201 (AppleBCMWLAN)** — CoreAudio 损坏后的内核特权提升。在受影响的设备/版本上完全可复现。 - **零点击投递向量** — 恶意媒体在设备锁定时由 iMessage 处理。 ## 观察到的攻陷后行为 - **未授权签名：** CryptoTokenKit / identityservicesd 从受损上下文中调用签名操作，且无 UI 提示（未导出 Secure Enclave 密钥材料）。 - **系统不稳定：** 媒体解码失败与 PME 强制日志、GPU/AppleDCP 链路错误、mediaplaybackd 变体切换循环以及偶尔的 launchd/SoC 停滞相关。 - **传播条件：** 观察到 AWDL 间存在对等令牌复用；如果令牌缓存留存，存在潜在跨设备风险。 ## 影响范围 - **受影响版本：** iOS 18.4 及更低版本 - **已修复版本：** iOS 18.4.1 (2025年4月16日) — 修复了 CVE‑2025‑31200, CVE‑2025‑31201 - **攻击向量：** 来自已知发件人的零点击 iMessage/SMS（绕过 BlastDoor/Blackhole） - **主要组件：** AudioConverterService (CoreAudio AAC 解码器) → AppleBCMWLAN.dext (内核提权) - **链式组件：** AppleBCMWLAN.dext — AMPDU 处理 → 内核提权 (CVE‑2025‑31201) - **所需权限：** 无（初始）；利用链完成后达到内核级别 - **影响摘要：** 完整性（未授权签名、令牌/设备假冒）+ 可用性（系统停滞）；机密性 — 无密钥导出 ## 披露时间线 - 报告给 Apple：**2024年12月20日** - 再次报告给 Apple 及 US‑CERT：**2025年1月21日** (跟踪 ID: VRF#25-01-MPVDT) - 分享给 Google Project Zero / 研究团队：**2025年4月11日** - Apple 发布补丁：**2025年4月16日** (iOS 18.4.1) - CVE 分配：**CVE‑2025‑31200** 和 **CVE‑2025‑31201** ## 影响声明 攻击者远程触发此利用链可实现： - **内核级攻陷** - **Secure Enclave 签名原语的运行时协同** - **设备身份假冒** - **身份绑定令牌伪造** **严重程度：** 严重 (CVSS 3.1 链式感知 10.0) **运营风险：** 高；存在跨设备攻陷潜力，且补丁后令牌可能持久化。 ## 建议 - 对所有消息强制执行 BlastDoor / 附件检查；切勿基于发件人元数据进行绕过。 - 对解码器参数（例如 inMagicCookie/编解码器元数据）应用严格的输入验证。 - 为 CryptoTokenKit / Secure Enclave 签名操作实施运行时证明，以验证调用者完整性和权限。 - 加固无线驱动面和 IOKit 入口点，以防御格式错误的内核数据。 - 监控系统日志中重复出现的 ctkd / identityservicesd 异常，这可能表明存在残留的传播尝试。 ## 许可证与免责声明 发布用于防御性研究和进一步学习。

标签：AppleBCMWLAN, AudioConverterService, Blastdoor绕过, CoreAudio, CryptoTokenKit, CVE-2025-31200, CVE-2025-31201, DNS 反向解析, Go语言工具, iMessage攻击, iOS 18.4, iOS安全, iOS漏洞, MP4音频文件, PE 加载器, RCE, Secure Enclave, TPS攻击, Web报告查看器, 内核提权, 堆损坏, 恶意音频文件, 权限窃取, 漏洞利用链, 目录枚举, 移动安全, 编程工具, 远程代码执行, 零日漏洞, 零点击漏洞