脆弱性の内容
iOS 機器(iPhone, iPad)の SMS や WtatsApp アプリに対して特定の Unicode テキストを送ることで DoS(Denial of Service; サービス拒否)を引き起こすことができる。最悪の場合,機器がリブートする。
影響度
CVSS 基本値 7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分(AV) | ネットワーク(N) |
| 攻撃条件の複雑さ(AC) | 低(L) |
| 攻撃前の認証要否(Au) | 不要(N) |
| 情報漏えいの可能性(機密性への影響, C) | なし(N) |
| 情報改ざんの可能性(完全性への影響, I) | なし(N) |
| 業務停止の可能性(可用性への影響, A) | 全面的(C) |
CVSS についてはデモページを参照のこと。
影響を受ける実装
iOS 8.0 から 8.3。既に exploit が出回ってる模様。
- ▶ Effective Power Unicode iOS hack on iPhone 6 - YouTube
- ▶ Effective Power Unicode iOS hack vs Twitter - YouTube
Apple Watch や Mac にも影響があるという報告もあるが詳細は不明。