CVE-2025-31255

چکیده

آسیب‌پذیری بحرانی در IOKit محصولات اپل شامل macOS Sonoma پیش از 14.8، macOS Sequoia پیش از 15.7، macOS Tahoe پیش از 26، iOS وiPadOS پیش از 26، tvOS پیش از 26 و watchOS پیش از 26 شناسایی شده است. این آسیب پذیری با سوءاستفاده از مدیریت نادرست وضعیت امکان دسترسی اپلیکیشن‌ها به داده‌های حساس کاربر را فراهم می‌کند.

توضیحات

آسیب‌پذیری CVE-2025-31255 در فریم‌ورک IOKit (Input/Output Kit، فریم‌ورک کرنل برای مدیریت درایورهای سخت‌افزاری در سیستم عامل های اپل، ناشی از مجوزدهی نادرست مطابق با CWE-285 است. این ضعف به اپلیکیشن ها بدون داشتن مجوز لازم اجازه می‌دهد تا با سوءاستفاده از مدیریت نادرست وضعیت (State Management)، به داده‌های حساس کاربر مانند اطلاعات شخصی، کلیدهای رمزنگاری یا لاگ‌های سیستم دسترسی یابند. به عبارتی، مهاجم با طراحی یک اپلیکیشن مخرب می‌تواند محدودیت‌های IOKit را دور بزند و به منابع محافظت‌شده دسترسی یابد.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم با اسکریپت‌ها یا ابزارهای خودکار، از راه دور، بدون تعامل کاربر و تنها با نصب یک اپلیکیشن مخرب می‌تواند وضعیت IOKit را تغییر دهد و بدون هشدار سیستمی، داده‌هایی مانند اطلاعات بیومتریک (Biometric Data) یا فایل‌های خصوصی را بخواند.

پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی با افشای کامل داده‌های کاربر، یکپارچگی با تغییر عملکرد سیستم و در دسترس‌پذیری با اختلال احتمالی در IOKit است. این ضعف در تمام محصولات اپل قابل سوءاستفاده است، به‌ویژه زمانی که اپلیکیشن های شخص ثالث نصب شوند. اپل این آسیب‌پذیری را با بهبود مکانیزم مدیریت وضعیت پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که iOS، iPadOS، tvOS ،watchOS و macOS را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در IOKit محصولات اپل، ریسک دسترسی غیرمجاز اپلیکیشن ها به داده‌های حساس کاربران را به طور قابل توجهی افزایش می‌دهد. با توجه به انتشار پچ‌های امنیتی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام دستگاه‌های اپل را به نسخه‌های macOS Sonoma 14.8، macOS Sequoia 15.7، macOS Tahoe 26، iOS/iPadOS 26، tvOS 26 و watchOS 26 به‌روزرسانی کنید.
• فعال‌سازی مکانیزم های امنیتی: از محیط ایزوله اپلیکیشن ها (App Sandbox) و قابلیت Gatekeeper برای تایید امضای دیجیتال اپ‌ها استفاده کنید و کنترل مجوزهای حریم خصوصی (TCC) را برای IOKit فعال نگه دارید.
• محدود کردن دسترسی‌ها: نصب اپلیکیشن های جانبی (sideloaded) را غیرفعال کنید و از ابزارهایی مانند XProtect (اسکنر بدافزار اپل) برای فیلتر کردن اپلیکیشن های مشکوک بهره ببرید.
• نظارت و ثبت لاگ: لاگ‌های سیستم را با ابزارهایی مانند app بررسی کنید تا دسترسی‌های غیرمجاز به IOKit شناسایی شود و از FileVault (رمزنگاری دیسک) برای حفاظت از داده‌های حساس استفاده نمایید.
• ایزوله‌سازی دستگاه: دستگاه‌های حساس را با پروفایل‌های مدیریت‌شده (Managed Profiles) ایزوله کنید و دسترسی به APIهای IOKit را از طریق سامانه های مدیریت دستگاه (MDM) محدود سازید.
• تست امنیتی: اپلیکیشن ها را با ابزارهای تحلیل امنیتی مانند Frida یا AppScan اسکن کنید تا سناریوهای مجوزدهی نادرست شناسایی شود. همچنین از تحلیل ایستا برای ارزیابی مقاومت مدیریت وضعیت بهره ببرید.
• آموزش کاربران: کاربران را درباره ریسک‌های مجوزدهی نادرست و ضرورت بررسی مجوزهای اپلیکیشن ها قبل از نصب آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و تقویت مکانیزم TCC، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و سطح امنیت داده‌های کاربر در محصولات اپل افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم معمولاً از طریق نصب اپلیکیشن مخرب sideload یا عبور از کنترل‌های امضای اپ یا با سوءاستفاده از اپ‌های ثالثی که اجازه فراخوانی API های IOKit را می‌دهند، دسترسی اولیه را به دستگاه کسب می‌کند

Credential Access (TA0006)
با دسترسی به IOKit و منابع حافظه، مهاجم می‌تواند توکن‌ها، کلیدهای رمزنگاری یا اطلاعات نشست را استخراج کند

Discovery (TA0007)
در صورت اجرای موفق کد با امتیازات کافی، مهاجم می‌تواند ساختارهای سخت‌افزاری، درایور‌ها و device node‌ های موجود را enumerate کند تا منابع حساس یا رابط‌های فراهم کننده امکان خواندن/نوشتن مستقیم به سخت‌افزار یا حافظه را پیدا کند

Privilege Escalation (TA0004)
سوءاستفاده از مدیریت وضعیت IOKit یا از نقص در کنترل ورودی می‌تواند به خواندن/نوشتن غیرمجاز در ناحیه‌هایی از حافظه یا فراخوانی مسیرهای کرنل منجر شود و نتیجتاً ارتقای امتیاز (به‌ویژه در سطح کرنل) را ممکن سازد.

Collection (TA0009)
پس از کسب دسترسی مناسب، مهاجم قادر است از طریق API های IOKit یا خواندن مستقیم حافظه به جمع‌آوری داده‌های حساس مانند فایل‌های محلی، لاگ‌ها یا موارد حساسِ سیستم (حتی داده‌های بیومتریک در حافظه) بپردازد.

Defense Evasion (TA0005)
برای پنهان‌سازی، اپ مخرب ممکن است لاگ‌ها را تغییر دهد، رفتارهای خود را به قالب عادی درآورد یا از تکنیک‌های زمان‌بندی و obfuscation استفاده کند

Lateral Movement (TA0008)
در صورت فراهم شدن دسترسی وسیع، مهاجم ممکن است از اطلاعات یا توکن‌های افشا شده برای دسترسی به سایر دستگاه‌ها یا سرویس‌های شبکه استفاده کند

Impact (TA0040)
پیامد اصلی شامل افشای گسترده داده‌های حساس، خدشه‌دار شدن یکپارچگی سیستم و احتمال اختلال در عملکرد دستگاه‌هاست که می‌تواند به نقض‌های سطح بالا و خسارت کسب‌وکار بینجامد

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-31255
2. https://www.cvedetails.com/cve/CVE-2025-31255/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-31255
4. https://support.apple.com/en-us/125112
5. https://support.apple.com/en-us/125108
6. https://support.apple.com/en-us/125114
7. https://support.apple.com/en-us/125116
8. https://support.apple.com/en-us/125110
9. https://support.apple.com/en-us/125111
10. https://nvd.nist.gov/vuln/detail/CVE-2025-31255
11. https://cwe.mitre.org/data/definitions/285.html