iMessage Media Parser Zero-Click → CoreAudio RCE → PAC/RPAC → Kernel → CryptoTokenKit Abuse

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Hierdie bladsy som ’n moderne iOS zero-click aanval-oppervlak en ’n waargenome end-to-end uitbuitingsketting op wat iMessage se outomatiese mediaparsing misbruik om CoreAudio te kompromitteer, BlastDoor te omseil, Pointer Authentication (PAC) te verslaan via ’n RPAC-pad, op te skaal na die kernel, en uiteindelik CryptoTokenKit te misbruik vir ongemagtigde sleutelgebruik.

Waarskuwing: Dit is ’n opvoedkundige samevatting om verdedigers, navorsers en red teams te help om die tegnieke te verstaan. Moet dit nie aanvallend gebruik nie.

Hoëvlak-ketting

  • Afleevervektor: ’n kwaadwillige audio-aanhegsel (bv. .amr / MP4 AAC) gestuur via iMessage/SMS.
  • Outomatiese verwerking: iOS parseer media outomaties vir voorbesigte en omskakelings sonder gebruikersinteraksie.
  • Parser-fout: vervormde strukture tref CoreAudio se AudioConverterService en korrupteer heap memory.
  • Code-uitvoering in mediakonteks: RCE binne die mediaparsingsproses; dit is gerapporteer dat dit BlastDoor isolasie omseil in spesifieke paaie (bv. “known sender” framing path).
  • PAC/RPAC-omseiling: sodra arbitrêre R/W bereik is, maak ’n PAC-omseiling in die RPAC-pad ’n stabiele control flow onder arm64e PAC moontlik.
  • Kernel-eskalasie: die ketting omskakel userland uitvoering na kernel uitvoering (bv. via wireless/AppleBCMWLAN code paths en AMPDU hantering soos in logs hieronder gesien).
  • Post-uitbuiting: met kernel misbruik CryptoTokenKit om te teken met Secure Enclave–ondersteunde sleutels, lees sensitiewe datapaaie (Keychain contexts), onderskep boodskappe/2FA, stilweg magtig aksies, en aktiveer stil toesig (mic/camera/GPS) sonder prompts.

iMessage/BlastDoor aanvalsoppervlak notas

BlastDoor is ’n geharde diens wat ontwerp is om onbetroubare boodskapinhoud te parse. Waargenome logs dui egter paaie aan waar beskermings moontlik omseil kan word wanneer boodskappe geframmeer is van ’n “known sender” en wanneer addisionele filters (bv. Blackhole) gerelaks word:

IDSDaemon    BlastDoor: Disabled for framing messages
SpamFilter   Blackhole disabled; user has disabled filtering unknown senders.

Takeaways:

  • Outomatiese ontleding verteenwoordig steeds ’n afgeleë, zero-click aanvalsoppervlakte.
  • Beleids-/konteksbesluite (bekende sender, filtreringstoestand) kan die effektiewe isolasie beduidend verander.

CoreAudio: AudioConverterService heap corruption (userland RCE)

Aangedane komponent:

  • CoreAudio → AudioConverterService → AAC/AMR/MP4 ontledings- en omskakelingsvloei

Waargenome raakpunt van die parser (loglêers):

AudioConverterService    ACMP4AACBaseDecoder.cpp: inMagicCookie=0x0, inMagicCookieByteSize=39

Tegniekopsomming:

  • Verkeerd gevormde container/codec metadata (bv., ongeldig/kort/NULL magic cookie) veroorsaak geheuekorrupsie tydens decode-opstelling.
  • Aktiveer in die iMessage media conversion path sonder taps deur die gebruiker.
  • Gee code execution in die media parsing process. Die write-up beweer dit ontsnap BlastDoor in die waargenome delivery path, wat die volgende stadium moontlik maak.

Praktiese wenke:

  • Fuzz AAC/AMR magic cookie en MP4 codec atoms wanneer jy AudioConverterService conversions teiken.
  • Fokus op heap overflows/underflows, OOB reads/writes, en grootte/lengte verwarring rondom decoder initialization.

PAC bypass via RPAC path (CVE-2025-31201)

arm64e Pointer Authentication (PAC) belemmer die kaping van return-adresse en funksie-aanwysers. Die ketting rapporteer die oorwinning oor PAC deur ’n RPAC path te gebruik sodra arbitrary read/write beskikbaar is.

Kernidee:

  • Met arbitrary R/W kan aanvallers geldige, re-signed pointers saamstel of uitvoering pivot na PAC-tolerant paths. Die sogenaamde “RPAC path” stel control-flow onder PAC-beperkings in staat, en verander ’n userland RCE in ’n betroubare kernel exploit-opstelling.

Notas vir navorsers:

  • Versamel info leaks om KASLR te oorwin en ROP/JOP chains te stabiliseer selfs onder PAC.
  • Teiken callsites wat PAC op beheerbare maniere genereer of authenticate (bv., signatures gegenereer op attacker-controlled waardes, voorspelbare context keys, of gadget sequences wat pointers re-sign).
  • Verwag Apple hardening variance per SoC/OS; betroubaarheid berus op leaks, entropy, en robuuste primitives.

Kernel escalation: wireless/AMPDU path example

In die waargenome ketting, sodra jy in userland is met memory corruption en ’n PAC bypass primitive, is kernel control behaal via code paths in die Wi‑Fi stack (AppleBCMWLAN) onder malformed AMPDU handling. Voorbeeld logs:

IO80211ControllerMonitor::setAMPDUstat unhandled kAMPDUStat_ type 14
IO80211ControllerMonitor::setAMPDUstat unhandled kAMPDUStat_ type 13

Algemene tegniek:

  • Gebruik userland primitives om kernel R/W of controlled call paths te bou.
  • Misbruik bereikbare kernel-oppervlakke (IOKit, networking/AMPDU, media shared memory, Mach interfaces) om kernel PC-beheer of arbitraire geheue te bereik.
  • Stabiliseer deur read/write primitives te bou en PPL/SPTM-beperkings te omseil waar van toepassing.

Post-exploitation: CryptoTokenKit en identity/signing-misbruik

Sodra die kernel gekompromitteer is, kan prosesse soos identityservicesd geïmpersonifieer word en bevoorregte kriptografiese operasies via CryptoTokenKit sonder gebruikerspromptte aangeroep word. Voorbeeldlogs:

CryptoTokenKit    operation:2 algo:algid:sign:ECDSA:digest-X962:SHA256
CryptoTokenKit    <sepk:p256(d) kid=9a86778f7163e305> parsed for identityservicesd

Impact:

  • Gebruik Secure Enclave–backed keys vir ongemagtigde signing (tokens, messages, payments), wat trust models breek selfs al word keys nie exported nie.
  • Intercept 2FA codes/messages stilweg; magtig payments/transfers; aktiveer verborge mic/camera/GPS.

Defensive angle:

  • Behandel post-kernel integriteitsbroke as katastrofies: afdwing runtime attestation vir CTK-consumers; minimaliseer ambient authority; verifieer entitlements by die punt van gebruik.

Reproduction and telemetry hints (lab only)

  • Delivery: stuur ’n gemaakte AMR/MP4-AAC audio na die teiken toestel via iMessage/SMS.
  • Let op telemetry vir die bogenoemde logreëls oor parsing en wireless stack-reaksies.
  • Maak seker dat toestelle volledig gepatch is; toets slegs in geïsoleerde lab-opstellings.

Mitigations and hardening ideas

  • Patch level: iOS 18.4.1 blyk hierdie ketting te regstel; hou toestelle op datum.
  • Parser hardening: stringent validasie vir codec cookies/atoms en lengtes; defensiewe decoding paths met bounds checks.
  • iMessage isolation: vermy die verslapping van BlastDoor/Blackhole in “known sender” kontekste vir media parsing.
  • PAC hardening: verminder PAC-gadget-beskikbaarheid; verseker signatures is gebind aan onvoorspelbare kontekste; verwyder PAC-tolerant bypassable patrone.
  • CryptoTokenKit: vereis post-kernel attestation en sterk entitlements by call-time vir key-bound operasies.
  • Kernel surfaces: verhard wireless AMPDU/status hantering; minimaliseer aanvaller-beheerde insette uit userland na kompromie.

Affected versions (as reported)

  • iOS 18.x prior to iOS 18.4.1 (April 16, 2025).
  • Primary: CoreAudio → AudioConverterService (media auto-parsing path via iMessage/SMS).
  • Chained: PAC/RPAC path and kernel escalation via AppleBCMWLAN AMPDU handling.

References

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks