漏洞发现与验证 - 海外博主发现iPhone漏洞并获苹果17,500美元赏金 该漏洞仅需一行代码即可触发[1] - 漏洞涉及Darwin通知API 该API无需特殊权限且不验证发送方 允许任意应用伪装系统组件发送破坏性通知[5] - 技术背景：Darwin通知是CoreOS底层通信工具 仅支持UInt64状态值 相比NSNotificationCenter和NSDistributedNotificationCenter更基础[7] 漏洞技术细节 - 三大致命缺陷：零权限要求 无发送方验证 系统关键功能依赖该API（如锁屏 恢复模式）[7][8] - 概念验证工具EvilNotify通过发送"com.apple.MobileSync.BackupAgent.RestoreStarted"通知 强制设备进入恢复状态并最终重启[12] - 终极攻击工具VeryEvilNotify利用小组件扩展特性 实现设备重启后自动触发攻击 形成"恢复→崩溃→重启"死循环[14][18] 攻击效果与机制 - 攻击效果包括：禁用全局手势 强制使用蜂窝数据 锁定屏幕 模拟丢失模式 最严重可触发恢复模式使设备变砖[14] - 核心机制：小组件扩展在设备启动时优先运行 通过故意崩溃迫使系统频繁重载扩展 实现后台持久化攻击[15][17] - 最终导致设备无限重启循环 仅能通过抹除数据恢复 若恶意应用包含在备份中可能形成永久性拒绝服务攻击[22] 修复方案与时间线 - 修复措施：敏感Darwin通知需受限权限 发送方需持有特定前缀权限（如com.apple.private.darwin-notification.restrict-post）[31] - 修复时间线：2024年6月提交报告 2025年3月分配CVE-2025-24091 最终在iOS 18.3中修复[27] - 修复覆盖：首批适配backupd等关键进程 iOS 18.3阻断所有PoC攻击路径 从根本上杜绝沙盒应用滥用[31]