iMessage Media Parser Zero-Click → CoreAudio RCE → PAC/RPAC → Kernel → CryptoTokenKit Kötüye Kullanımı

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Bu sayfa, iMessage otomatik medya ayrıştırmasını kullanarak CoreAudio’yu suistimal eden, BlastDoor’u aşan, Pointer Authentication (PAC) korumasını RPAC yoluyla baypas eden, kernel ayrıcalığına yükselen ve son olarak CryptoTokenKit’i yetkisiz anahtar kullanımları için kötüye kullanan modern bir iOS zero-click saldırı yüzeyini ve gözlemlenmiş uçtan uca sömürü zincirini özetler.

Uyarı: Bu eğitim amaçlı bir özet olup savunucuların, araştırmacıların ve red teamlerin teknikleri anlamasına yardımcı olmak içindir. Saldırgan amaçlarla kullanmayın.

Yüksek düzey zincir

  • Delivery vector: kötü amaçlı bir ses eki (ör. .amr / MP4 AAC) iMessage/SMS üzerinden gönderilir.
  • Auto-ingestion: iOS, kullanıcı etkileşimi olmadan önizleme ve dönüşümler için medyayı otomatik olarak ayrıştırır.
  • Parser bug: bozuk yapılar CoreAudio’nun AudioConverterService’ine ulaşır ve heap belleğini bozabilir.
  • Code exec in media context: medya ayrıştırma sürecinde RCE; raporlar belirli yolların (ör. “known sender” framing path) BlastDoor izolasyonunu atlayabildiğini gösteriyor.
  • PAC/RPAC bypass: rastgele okuma/yazma elde edildikten sonra, RPAC yolundaki bir PAC baypası arm64e PAC altında kararlı kontrol akışı sağlar.
  • Kernel escalation: zincir, userland yürütmeyi kernel yürütmesine çevirir (ör. aşağıdaki loglarda görüldüğü gibi wireless/AppleBCMWLAN kod yolları ve AMPDU işleme aracılığıyla).
  • Post-exploitation: kernel erişimi ile CryptoTokenKit kötüye kullanılarak Secure Enclave destekli anahtarlarla imzalama yapılır, hassas veri yolları (Keychain bağlamları) okunur, mesajlar/2FA ele geçirilebilir, eylemler sessizce yetkilendirilebilir ve kullanıcıya bildirim olmadan gözetim (mikrofon/kamera/GPS) etkinleştirilebilir.

iMessage/BlastDoor saldırı yüzeyi notları

BlastDoor, güvensiz mesaj içeriğini ayrıştırmak için tasarlanmış sertleştirilmiş bir servistir. Ancak gözlemlenen loglar, mesajlar “known sender” olarak çerçevelendiğinde ve ek filtreler (ör. Blackhole) gevşetildiğinde korumaların atlanabileceği yolları işaret etmektedir:

IDSDaemon    BlastDoor: Disabled for framing messages
SpamFilter   Blackhole disabled; user has disabled filtering unknown senders.

Takeaways:

  • Otomatik ayrıştırma hâlâ uzak, zero-click saldırı yüzeyi oluşturur.
  • Politika/bağlam kararları (bilinen gönderici, filtreleme durumu) etkili izolasyonu önemli ölçüde değiştirebilir.

CoreAudio: AudioConverterService heap bozulması (userland RCE)

Affected component:

  • CoreAudio → AudioConverterService → AAC/AMR/MP4 ayrıştırma ve dönüştürme akışları

Observed parser touchpoint (logs):

AudioConverterService    ACMP4AACBaseDecoder.cpp: inMagicCookie=0x0, inMagicCookieByteSize=39

Technique summary:

  • Bozuk container/codec meta verisi (ör. invalid/short/NULL magic cookie) decode setup sırasında memory corruption’a neden olur.
  • Kullanıcının etkileşimi (tap) olmadan iMessage medya conversion path içinde tetiklenir.
  • Media parsing sürecinde code execution sağlar. Write-up, gözlemlenen delivery path içinde bunun BlastDoor’dan kaçtığını ve bir sonraki aşamayı mümkün kıldığını iddia ediyor.

Practical tips:

  • AudioConverterService dönüşümleri hedeflenirken AAC/AMR magic cookie ve MP4 codec atoms üzerinde fuzz yapın.
  • Decoder initialization etrafındaki heap overflows/underflows, OOB reads/writes ve size/length confusion üzerinde yoğunlaşın.

PAC bypass via RPAC path (CVE-2025-31201)

arm64e Pointer Authentication (PAC), return addresses ve function pointers’ın hijacking’ini zorlaştırır. Zincir, arbitrary read/write erişimi elde edildikten sonra RPAC path kullanılarak PAC’in atlatıldığını rapor ediyor.

Key idea:

  • Arbitrary R/W ile saldırganlar geçerli, yeniden imzalanmış pointer’lar oluşturabilir veya PAC-tolerant path’lere pivot yaparak execution kontrolünü sağlayabilir. Sözde “RPAC path” PAC kısıtları altında kontrol-akışına izin vererek userland RCE’yi güvenilir bir kernel exploit kurulumuna çevirir.

Notes for researchers:

  • KASLR’yi yenmek ve PAC altında bile ROP/JOP zincirlerini stabilize etmek için info leaks toplayın.
  • PAC üreten veya doğrulayan callsite’ları hedefleyin (ör. attacker-controlled değerler üzerinde üretilen imzalar, öngörülebilir context key’leri veya pointer’ları yeniden-imzalayan gadget sequences).
  • Apple hardening’in SoC/OS bazında değişkenlik gösterebileceğini bekleyin; güvenilirlik leaks, entropy ve sağlam primitives’e bağlıdır.

Kernel escalation: wireless/AMPDU path example

Gözlemlenen zincirde, userland’de memory corruption ve bir PAC bypass primitive elde edildikten sonra, kernel kontrolü bozuk AMPDU işleme altındaki Wi‑Fi stack (AppleBCMWLAN) içindeki code paths üzerinden sağlandı. Örnek loglar:

IO80211ControllerMonitor::setAMPDUstat unhandled kAMPDUStat_ type 14
IO80211ControllerMonitor::setAMPDUstat unhandled kAMPDUStat_ type 13

Genel teknik:

  • userland primitives kullanarak kernel için R/W veya kontrollü çağrı yolları oluşturun.
  • Erişilebilir kernel yüzeylerini (IOKit, networking/AMPDU, media shared memory, Mach interfaces) kötüye kullanarak kernel PC kontrolü veya arbitrary memory elde edin.
  • read/write primitives oluşturarak ve uygulanabiliyorsa PPL/SPTM kısıtlamalarını aşarak stabil hale getirin.

Sömürü sonrası: CryptoTokenKit ve kimlik/imzalama kötüye kullanımı

Kernel ele geçirildiğinde, identityservicesd gibi süreçler taklit edilebilir ve ayrıcalıklı kriptografik işlemler CryptoTokenKit aracılığıyla kullanıcı bildirimi olmadan çağrılabilir. Örnek loglar:

CryptoTokenKit    operation:2 algo:algid:sign:ECDSA:digest-X962:SHA256
CryptoTokenKit    <sepk:p256(d) kid=9a86778f7163e305> parsed for identityservicesd

Impact:

  • Secure Enclave–backed anahtarları yetkisiz imzalama için kullanma (tokens, messages, payments), anahtarlar dışa aktarılmamış olsa bile güven modellerini bozma.
  • 2FA kodlarını/mesajlarını sessizce yakalama; ödemeleri/transferleri yetkilendirme; gizli mikrofon/kamera/GPS erişimi sağlama.

Defensive angle:

  • Kernel sonrası bütünlük ihlallerini felaket olarak ele alın: CTK tüketicileri için runtime attestation zorunlu kılın; ambient authority’yi en aza indirin; entitlements’ları kullanım noktasında doğrulayın.

Reproduction and telemetry hints (lab only)

  • Delivery: hedef cihaza iMessage/SMS üzerinden hazırlanmış bir AMR/MP4-AAC ses gönderin.
  • Ayrıştırma ve kablosuz yığın tepkileri etrafındaki önceki log satırları için telemetriyi gözlemleyin.
  • Cihazların tamamen yamalı olduğundan emin olun; yalnızca izole laboratuvar ortamlarında test edin.

Mitigations and hardening ideas

  • Patch level: iOS 18.4.1’in raporlara göre bu zinciri düzelttiği belirtiliyor; cihazları güncel tutun.
  • Parser hardening: codec cookies/atoms ve uzunluklar için sıkı doğrulama; sınır kontrollerine sahip savunmacı dekodlama yolları.
  • iMessage isolation: medya parsing için “known sender” bağlamlarında BlastDoor/Blackhole’u gevşetmekten kaçının.
  • PAC hardening: PAC-gadget kullanılabilirliğini azaltın; imzaların öngörülemez bağlamlara bağlı olmasını sağlayın; PAC-tolerant bypassable pattern’leri kaldırın.
  • CryptoTokenKit: key-bound işlemler için çağrı anında post-kernel attestation ve güçlü entitlements gerektirin.
  • Kernel surfaces: kablosuz AMPDU/status işleme mekanizmalarını sertleştirin; ele geçirme sonrası userland’dan gelen saldırgan kontrollü girdileri en aza indirin.

Affected versions (as reported)

  • iOS 18.x prior to iOS 18.4.1 (April 16, 2025).
  • Primary: CoreAudio → AudioConverterService (media auto-parsing path via iMessage/SMS).
  • Chained: PAC/RPAC path and kernel escalation via AppleBCMWLAN AMPDU handling.

References

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin