信不信？一行代码搞死你的iPhone！

漏洞机理：Darwin通知的开放性与滥用

Darwin通知是iOS底层（CoreOS层）的进程间通信机制，其设计初衷是为系统组件提供轻量级状态同步能力。与开发者常用的NSNotificationCenter不同，Darwin通知具有以下特征：

全局广播：通知可被系统内所有进程接收，包括SpringBoard（iOS主界面进程）。

无权限限制：任何应用均可通过notify_post()函数发送通知，无需特殊授权。

状态传递：每个通知可携带一个UInt64数值，用于传递布尔值或简单状态标识。

漏洞触发逻辑的关键在于两个关键原因。一是敏感通知未隔离：系统级功能（如设备恢复模式）依赖Darwin通知触发，但未对发送者身份进行校验。二是小部件扩展持久化：攻击者将恶意代码嵌入小部件扩展，利用iOS频繁唤醒扩展的特性（如锁屏刷新、主屏幕更新），在设备重启后反复触发攻击。

例如，发送以下通知即可伪造恢复指令：

swift

notify_post("com.apple.MobileSync.BackupAgent.RestoreStarted")  

SpringBoard接收到该通知后，误判设备需进入恢复流程，但实际无备份数据可供操作，最终强制用户重启设备。重启后，系统自动加载小部件扩展，再次触发相同流程，形成无限循环。

漏洞触发条件与攻击利用场景

1. 必要环境

操作系统版本：iOS/iPadOS 18.3之前版本。攻击载体：用户需安装恶意应用或启用恶意小部件（可通过App Store、企业证书或第三方商店分发）。

2. 攻击实现路径

初级攻击：普通应用内调用notify_post()，需用户主动启动应用。

高阶攻击：将代码嵌入小部件扩展，利用系统自动执行机制实现持久化。研究人员在PoC工具VeryEvilNotify中采用以下策略：

在小部件入口点插入恶意代码。

故意触发崩溃（如调用fatalError()），绕过iOS对后台任务的资源限制。

利用系统重试机制，确保每次重启后重新执行攻击代码。

演示视频可参阅参考资源3。

3. 实际攻击难度评估

技术门槛：极低。攻击代码仅需一行，且无需逆向系统组件。

隐蔽性：恶意应用可伪装为工具类软件，初期无明显异常行为。

传播风险：结合社交工程（如“免费主题”“系统优化工具”），可快速诱导用户安装。

漏洞影响：从设备瘫痪到生态信任危机

1. 直接破坏性

设备不可用：受害者被迫进入“恢复模式→重启→再次触发”死循环，唯一解决方式是DFU模式全盘擦除。

数据丢失：未通过iCloud或本地备份的数据将永久清除，对个人用户和企业机构均构成重大风险。

2. 潜在威胁扩展

供应链攻击：攻击者可利用企业证书签名恶意应用，绕过App Store审核，定向攻击金融机构、政府单位等目标。

物理接触攻击：公共场所（如租赁设备、展示机）若被植入代码，可造成区域性服务中断。

品牌声誉冲击：苹果“安全生态”形象受损，影响消费者购买决策与企业采购计划。

3. 影响范围

设备型号：所有搭载iOS/iPadOS 18.3之前版本的iPhone、iPad。

用户基数：截至漏洞修复前，全球约12亿台设备处于风险中（基于苹果2024年财报数据推算）。

修复方案与防护实践

1. 官方修复措施（iOS 18.3+）

苹果通过以下机制阻断攻击链。

权限隔离：敏感Darwin通知需添加com.apple.private.restrict-post.前缀，且发送进程必须持有com.apple.private.darwin-notification.restrict-post.<notification>权限。

系统服务改造：SpringBoard等关键组件仅响应带限制前缀的通知，第三方框架同步升级权限模型。

2. 用户防护指南

立即升级系统：安装iOS/iPadOS 18.3或更高版本。

谨慎安装应用：优先通过App Store下载，审查陌生开发者发布的小部件。

启用备份：定期使用iCloud或本地计算机备份重要数据。

3. 企业额外防护

MDM管控：通过移动设备管理系统强制设备升级、限制非授权应用安装。

网络过滤：部署安全网关拦截恶意应用分发链接。

漏洞披露与修复时间线

小结

CVE-2025-24091事件揭示了移动生态中两大核心矛盾：开放性与安全性的平衡、遗留组件的隐蔽风险。Darwin通知作为历史遗留接口，因长期缺乏权限管控成为攻击跳板，而小部件扩展的自动化特性进一步放大了漏洞影响。未来，随着物联网设备的普及，类似底层漏洞的危害将呈指数级增长。唯有建立动态权限模型、自动化攻击面检测与开发者安全意识教育的三重防线，方能应对愈发复杂的威胁环境。

参考资源

1、https://cyberpress.org/new-ios-critical-flaw/

2、https://cybersecuritynews.com/ios-critical-vulnerability-brick-iphones/

3、https://rambo.codes/posts/2025-04-24-how-a-single-line-of-code-could-brick-your-iphone

原文始发于微信公众号（网空闲话plus）：信不信？一行代码搞死你的iPhone！