iOS激活漏洞:设备激活前即可远程注入配置,导致身份泄露(iOS 18.5)
报告给Apple时间:2025年5月19日
报告给US-CERT时间:2025年5月19日
US-CERT案例编号:VU#346053
厂商状态:未回应
公开披露时间:2025年6月26日
摘要
Apple iOS激活流程中存在一个严重漏洞,允许在用户与设备交互之前远程注入XML负载。
在出厂设置期间,iPhone会访问:
https://humb.apple.com/humbug/baa
该配置端点返回未签名的.plist配置负载——设备在没有加密验证或源认证的情况下接受这些配置。
位于网络(或任何上游基础设施路径)中的攻击者可以注入任意XML配置数据,SetupAssistant将静默处理这些数据。这些更改在重启后仍然存在,并影响系统信任、网络行为和身份配置——在用户触摸屏幕之前。
背景
此披露基于对在野外观察到的真实攻击的取证重建。
这些文件是从一个在初始激活期间表现出异常行为的实时设备中提取的。此处呈现的工件是事件后取证重建的一部分——非模拟、仿真或人工制作。
入侵发生在正常的SetupAssistant操作期间,没有越狱、开发者工具或设备修改。
测试设备
- 运行iOS 18.5的iPhone(截至2025年6月的最新版本)
- 恢复至出厂设置
- 使用标准消费者设置流程激活
- 无MDM注册或开发者配置文件
影响
- 在用户控制之前远程注入配置配置
- 持久的
.plist文件修改影响:- 云身份框架
- 信任和网络默认设置
- 激活和Apple服务行为
- 系统日志显示
.plist条目在设置之前写入和处理 - 其他
.plist文件可以类似地注入并静默应用 - 所有操作发生在设置前、同意前,且用户无感知
这破坏了以下环境的配置路径信任:
- 消费者
- 企业
- 受监管和政府环境
相关的监管风险包括:
- GDPR / CCPA(同意前的隐私侵犯)
- CMMC 2.0 / NIST 800-171(配置完整性丢失)
- FedRAMP / FISMA(未经认证的系统配置)
技术摘要
- SetupAssistant在激活期间连接到
humb.apple.com/humbug/baa - 该端点返回一个
.plist(XML)负载 - 负载未签名、未认证、未验证
- 设备接受并将其应用为系统配置
- 观察到以下内容:
mobileactivationd.log:完整的配置POST/响应com.apple.bird.plist:在用户输入之前持久化的身份配置- 其他配置文件可以类似地注入并静默接受
工件
附件:
mobileactivationd.log——激活期间的配置会话com.apple.bird.plist——在设置前写入的身份相关配置
这些文件未经修改且带有时间戳,是在观察到异常行为后从实时设备的激活过程中捕获的。
建议
- 对激活负载强制执行数字签名检查
- 要求配置端点进行认证和源验证
- 对所有
.plist响应应用严格的XML模式验证 - 在SetupAssistant期间停止记录身份相关配置
- 发布紧急补丁(iOS 18.5.1)以强化客户端配置逻辑
时间线
- 2025年5月19日:报告给Apple和US-CERT
- 2025年6月23日:US-CERT开启案例VU#346053
- 2025年6月26日:公开披露
研究人员
Joseph Raymond Goydish II
附件:
mobileactivationd.log.pdfcom.apple.bird.pdf