Una vulnerabilidad de iOS crítica permite que las aplicaciones maliciosas desactiven el código permanentemente en un solo código.
La vulnerabilidad asignada a CVE-2025-24091 aprovecha el sistema de notificación Darwin del sistema operativo para desencadenar un ciclo de reinicio infinito, de manera efectiva “ladrando” dispositivos y requiere una restauración completa del sistema.
Vulnerabilidad de notificación de iOS Darwin
La vulnerabilidad explota la notificación de Darwin, un mecanismo de mensajería de bajo nivel dentro de la capa de CoreOS que permite que los procesos comuniquen eventos en todo el sistema.
A diferencia de los sistemas de notificación más comúnmente conocidos como NSNotificationCenter y NSDistributedNotificationCenter, la notificación de Darwin es parte de una API heredada que se ejecuta en un nivel básico en todo el sistema operativo de Apple.
“Las notificaciones de Darwin son aún más fáciles porque son parte de la capa CoreOS. Proporcionan un mecanismo de bajo nivel para el intercambio simple de mensajes entre los procesos en el sistema operativo de Apple”, explicó Guilherme Rambo, un investigador de seguridad que descubrió la vulnerabilidad.
Una falla crítica proviene del hecho de que las aplicaciones de iOS pueden enviar notificaciones confidenciales de Darwin a nivel del sistema sin la necesidad de privilegios o calificaciones especiales.
El aspecto más peligroso era que estas notificaciones podrían desencadenar fuertes funciones del sistema, como ingresar un modo de “restaurar en progreso”.
Explotación de una línea
La exploit es muy simple. Solo un solo código puede causar una vulnerabilidad.
Cuando se ejecuta, este código obliga al dispositivo a ingresar un estado de “restauración en progreso”. Debido a que no se ha producido una restauración real, el proceso inevitablemente fallará, lo que le llevará al usuario a reiniciar el dispositivo. Los investigadores han creado un ataque de prueba de concepto llamado “Vealevilnotify”, que implementa esta exploit dentro de una extensión de widget.
“Las extensiones de widgets son despertadas regularmente en segundo plano por iOS”, dijeron los investigadores.
“Debido a que el uso de widgets está en el sistema, cuando se instala y inicia una nueva aplicación con extensión de widgets, el sistema quiere ejecutar la extensión de widget con mucho entusiasmo”.
Al colocar la exploit en widgets que se bloquean repetidamente después de enviar notificaciones, los investigadores crean ataques persistentes que se activan después de cada reinicio, creando un bucle infinito que ya no podrá usar el dispositivo.
Los factores de riesgo están utilizando iPads y iPads que ejecutan iPhones y iPads que ejecutan versiones antes de iOS/iPados 18.3. No se requieren privilegios especiales CVSS 3.1 puntaje alto
alivio
Apple abordó una vulnerabilidad en iOS 18.3 al implementar un nuevo sistema de calificación para notificaciones de Darwin. Los investigadores recibieron un premio de error de $ 17,500.
Específicamente, el prefijo “com.apple.private.restrict-pos” ahora se requiere para las notificaciones del sistema. Además, para enviar el proceso, debe tener una calificación restringida en forma de “com.apple.private.darwin-notification.restrict-pos”.
Esta no es la primera vulnerabilidad relacionada con Darwin en los sistemas de Apple. Anteriormente, Kaspersky Lab había identificado una vulnerabilidad en la “nuclear darwiniana” que permitía a los atacantes remotos lanzar ataques de denegación de servicio a través de paquetes de redes especialmente diseñados.
Todos los usuarios de iPhone están muy recomendables para actualizar de inmediato a iOS 18.3 o posterior. Los dispositivos que ejecutan versiones anteriores siguen siendo vulnerables a este ataque. Esto se puede implementar a través de aplicaciones o widgets aparentemente inocentes disponibles a través de la App Store u otros métodos de distribución.
Este caso destaca los desafíos de seguridad en curso en los sistemas operativos móviles. Con este sistema operativo, incluso las API heredadas simples y a menudo pasadas por alto pueden presentar grandes riesgos si están protegidas de manera inapropiada.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
