iMessage Media Parser Zero-Click → CoreAudio RCE → PAC/RPAC → Kernel → CryptoTokenKit Abuse

Reading time: 7 minutes

Αυτή η σελίδα συνοψίζει μια σύγχρονη επιφάνεια επίθεσης iOS zero-click και μια παρατηρημένη αλυσίδα εκμετάλλευσης end-to-end που καταχράται την αυτόματη ανάλυση μέσων του iMessage για να παραβιάσει το CoreAudio, να παρακάμψει το BlastDoor, να εξουδετερώσει το Pointer Authentication (PAC) μέσω μονοπατιού RPAC, να αναβαθμίσει σε Kernel, και τελικά να καταχραστεί το CryptoTokenKit για μη εξουσιοδοτημένη χρήση κλειδιών.

Προειδοποίηση: Αυτή είναι μια εκπαιδευτική περίληψη για να βοηθήσει αμυντικούς, ερευνητές και red teams να κατανοήσουν τις τεχνικές. Μην τη χρησιμοποιήσετε επιθετικά.

Υψηλού επιπέδου αλυσίδα

• Delivery vector: ένα κακόβουλο επισυναπτόμενο αρχείο ήχου (π.χ., .amr / MP4 AAC) που αποστέλλεται μέσω iMessage/SMS.
• Auto-ingestion: iOS αυτο-αναλύει μέσα για προεπισκοπήσεις και μετατροπές χωρίς αλληλεπίδραση χρήστη.
• Parser bug: κακόμορφες δομές πλήττουν το CoreAudio’s AudioConverterService και διαφθείρουν τη στοίβα ή τη heap μνήμη.
• Code exec in media context: RCE μέσα στη διεργασία ανάλυσης μέσων· αναφέρθηκε ότι παρακάμπτει την απομόνωση του BlastDoor σε συγκεκριμένα μονοπάτια (π.χ., “known sender” framing path).
• PAC/RPAC bypass: μόλις επιτευχθεί arbitrary R/W, μια παράκαμψη PAC στον RPAC path επιτρέπει σταθερό control flow υπό arm64e PAC.
• Kernel escalation: η αλυσίδα μετατρέπει userland exec σε kernel exec (π.χ., μέσω wireless/AppleBCMWLAN code paths και AMPDU χειρισμού όπως φαίνεται σε logs παρακάτω).
• Post-exploitation: με kernel, καταχράται το CryptoTokenKit για υπογραφές με κλειδιά που στηρίζονται σε Secure Enclave, ανάγνωση ευαίσθητων μονοπατιών δεδομένων (Keychain contexts), υποκλοπή μηνυμάτων/2FA, σιωπηλή εξουσιοδότηση ενεργειών και ενεργοποίηση διακριτικής παρακολούθησης (μικρόφωνο/κάμερα/GPS) χωρίς προτροπές.

iMessage/BlastDoor σημειώσεις επιφάνειας επίθεσης

Το BlastDoor είναι μια ενισχυμένη υπηρεσία σχεδιασμένη να αναλύει μη αξιόπιστο περιεχόμενο μηνυμάτων. Ωστόσο, τα παρατηρούμενα αρχεία καταγραφής υποδεικνύουν μονοπάτια όπου οι προστασίες ενδέχεται να παρακαμφθούν όταν τα μηνύματα πλαισιώνονται από έναν “known sender” και όταν χαλαρώνουν πρόσθετα φίλτρα (π.χ. Blackhole):

IDSDaemon    BlastDoor: Disabled for framing messages
SpamFilter   Blackhole disabled; user has disabled filtering unknown senders.

Takeaways:

• Auto-parsing εξακολουθεί να αντιπροσωπεύει μια remote, zero-click attack surface.
• Αποφάσεις πολιτικής/πλαισίου (known sender, filtering state) μπορούν να αλλάξουν ουσιωδώς την effective isolation.

CoreAudio: AudioConverterService heap corruption (userland RCE)

Affected component:

• CoreAudio → AudioConverterService → AAC/AMR/MP4 parsing and conversion flows

Observed parser touchpoint (logs):

AudioConverterService    ACMP4AACBaseDecoder.cpp: inMagicCookie=0x0, inMagicCookieByteSize=39

Technique summary:

• Κατεστραμμένα container/codec metadata (π.χ. invalid/short/NULL magic cookie) προκαλούν memory corruption κατά το decode setup.
• Ενεργοποιείται στο iMessage media conversion path χωρίς taps από τον χρήστη.
• Παράγει code execution στη διαδικασία media parsing. Η περιγραφή υποστηρίζει ότι αυτό ξεφεύγει από το BlastDoor στη παρατηρημένη delivery path, επιτρέποντας το επόμενο στάδιο.

Practical tips:

• Fuzz τα AAC/AMR magic cookie και τα MP4 codec atoms όταν στοχεύετε σε AudioConverterService conversions.
• Επικεντρωθείτε σε heap overflows/underflows, OOB reads/writes, και σε size/length confusion γύρω από τον decoder initialization.

PAC bypass via RPAC path (CVE-2025-31201)

Το arm64e Pointer Authentication (PAC) εμποδίζει την κατάληψη return addresses και function pointers. Η αλυσίδα αναφέρει ότι παρακάμπτει το PAC χρησιμοποιώντας RPAC path μόλις είναι διαθέσιμα arbitrary read/write.

Key idea:

• Με arbitrary R/W, οι επιτιθέμενοι μπορούν να κατασκευάσουν έγκυρους, re-signed pointers ή να pivot execution σε PAC-tolerant paths. Ο λεγόμενος “RPAC path” επιτρέπει control-flow υπό περιορισμούς PAC, μετατρέποντας ένα userland RCE σε αξιόπιστο kernel exploit setup.

Notes for researchers:

• Συλλέξτε info leaks για να παρακάμψετε το KASLR και να σταθεροποιήσετε ROP/JOP chains ακόμη και υπό PAC.
• Στοχεύστε callsites που παράγουν ή αυθεντικοποιούν PAC με ελεγχόμενους τρόπους (π.χ. signatures που παράγονται πάνω σε attacker-controlled values, predictable context keys, ή ακολουθίες gadget που re-sign pointers).
• Περιμένετε διαφορές στο Apple hardening ανά SoC/OS· η αξιοπιστία εξαρτάται από leaks, entropy, και robust primitives.

Kernel escalation: wireless/AMPDU path example

Στην παρατηρημένη αλυσίδα, μόλις βρεθείς σε userland με memory corruption και ένα PAC bypass primitive, ο έλεγχος του kernel επιτεύχθηκε μέσω code paths στο Wi‑Fi stack (AppleBCMWLAN) λόγω malformed AMPDU handling. Παράδειγμα logs:

IO80211ControllerMonitor::setAMPDUstat unhandled kAMPDUStat_ type 14
IO80211ControllerMonitor::setAMPDUstat unhandled kAMPDUStat_ type 13

General technique:

• Χρησιμοποιήστε userland primitives για να δημιουργήσετε kernel R/W ή ελεγχόμενες διαδρομές κλήσεων.
• Εκμεταλλευτείτε προσβάσιμες kernel surfaces (IOKit, networking/AMPDU, media shared memory, Mach interfaces) για να επιτύχετε έλεγχο του kernel PC ή αυθαίρετη μνήμη.
• Σταθεροποιήστε χτίζοντας read/write primitives και παρακάμπτοντας τους περιορισμούς PPL/SPTM όπου εφαρμόζεται.

Μετά την εκμετάλλευση: CryptoTokenKit και κατάχρηση ταυτότητας/υπογραφής

Μόλις ο kernel παραβιαστεί, διεργασίες όπως identityservicesd μπορούν να πλαστοπροσωπηθούν και προνομιακές κρυπτογραφικές λειτουργίες να εκτελεστούν μέσω CryptoTokenKit χωρίς προτροπές χρήστη. Παράδειγμα logs:

CryptoTokenKit    operation:2 algo:algid:sign:ECDSA:digest-X962:SHA256
CryptoTokenKit    <sepk:p256(d) kid=9a86778f7163e305> parsed for identityservicesd

Impact:

• Χρήση Secure Enclave–backed keys για μη εξουσιοδοτημένο signing (tokens, messages, payments), σπάζοντας μοντέλα εμπιστοσύνης ακόμα κι αν τα κλειδιά δεν εξαχθούν.
• Σιωπηλή υποκλοπή 2FA codes/messages; εξουσιοδότηση payments/transfers; ενεργοποίηση stealth mic/camera/GPS.

Defensive angle:

• Αντιμετωπίστε τις post-kernel integrity breaks ως καταστροφικές: επιβάλετε runtime attestation για καταναλωτές CTK; μειώστε την ambient authority; επαληθεύετε entitlements στο σημείο χρήσης.

Reproduction and telemetry hints (lab only)

• Delivery: στείλτε ένα crafted AMR/MP4-AAC audio στη συσκευή-στόχο μέσω iMessage/SMS.
• Παρατηρήστε την τηλεμετρία για τις προαναφερθείσες γραμμές καταγραφής γύρω από το parsing και τις αντιδράσεις της wireless stack.
• Βεβαιωθείτε ότι οι συσκευές είναι πλήρως patched· δοκιμάζετε μόνο σε απομονωμένα εργαστηριακά setups.

Mitigations and hardening ideas

• Patch level: iOS 18.4.1 reportedly fixes this chain; κρατήστε τις συσκευές ενημερωμένες.
• Parser hardening: αυστηρός έλεγχος για codec cookies/atoms και μήκη· αμυντικές διαδρομές αποκωδικοποίησης με bounds checks.
• iMessage isolation: αποφύγετε τη χαλάρωση του BlastDoor/Blackhole σε “known sender” contexts για media parsing.
• PAC hardening: μειώστε τη διαθεσιμότητα PAC-gadget; διασφαλίστε ότι οι υπογραφές συνδέονται με μη προβλέψιμα contexts; αφαιρέστε PAC-tolerant bypassable patterns.
• CryptoTokenKit: απαιτήστε post-kernel attestation και ισχυρά entitlements κατά το call-time για key-bound operations.
• Kernel surfaces: σκληραγώγηση του wireless AMPDU/status handling; ελαχιστοποιήστε τις attacker-controlled εισόδους από το userland μετά από συμβιβασμό.

Affected versions (as reported)

• iOS 18.x prior to iOS 18.4.1 (April 16, 2025).
• Primary: CoreAudio → AudioConverterService (media auto-parsing path via iMessage/SMS).
• Chained: PAC/RPAC path and kernel escalation via AppleBCMWLAN AMPDU handling.

References

• iOS Crypto Heist repo (README)
• Remote Crypto Attack Chain details