Safariのバグにより、閲覧履歴やGoogleアカウントの詳細が漏洩
Benchmarks

Safariのバグにより、閲覧履歴やGoogleアカウントの詳細が漏洩

  • Oligur
  • 0
  • vyzf
Safariのバグにより、閲覧履歴やGoogleアカウントの詳細が漏洩
  • ニュース
Safari 15で閲覧履歴が漏洩
それは良くないですね。
画像:キリアン・ベル/カルト・オブ・マック

Safari 15 で新たに発見されたバグにより、どのウェブサイトでもユーザーの閲覧アクティビティを追跡でき、Google ユーザーであれば個人情報が明らかになる可能性もあります。

この脆弱性は、AppleのIndexedDB実装に起因しています。IndexedDBは、ほとんどの最新ブラウザで広くサポートされているストレージAPIです。この問題はMacユーザーだけでなく、iPhoneやiPadユーザーにも影響を及ぼします。以下に、知っておくべき情報をまとめました。

Safari 15がユーザーデータを漏洩

IndexedDBは、ファイルを含む大量のデータを保持するために設計された、ウェブブラウザ向けのJavaScript APIです。様々なウェブアプリが、処理速度向上のためにデータをマシン上に保存するためにIndexedDBを使用しています。

IndexedDB は「同一オリジンポリシー」と呼ばれるセキュリティメカニズムを採用しています。これは、あるオリジンから読み込まれたドキュメントやスクリプトが、他のオリジンのリソースとどのように連携するかを制限するものです。言い換えれば、同一オリジンポリシーは、あるウェブサイトが別のウェブサイトで保存されたデータにアクセスすることを防止します。

しかし、Safari 15では、同一生成元ポリシーが正しく機能しないバグが発生しています。これにより、ウェブサイトは他のサイトが作成したデータベースにアクセスでき、ユーザーの閲覧習慣を外部から把握できるようになります。さらに、このバグによって個人情報が漏洩する可能性さえあります。

Googleユーザーの皆様、ご注意ください

「さらに、一部のウェブサイトではデータベース名にユーザー固有の識別子が使用されていることを確認しました」と、この問題を最初に発見したFingerprintJSは説明しています。「これは、認証されたユーザーを一意かつ正確に識別できることを意味します。」

これは、YouTube、Google カレンダー、Google Keep などの人気の Google サイトが、認証済みの Google ユーザー ID を含むデータベースを作成するためです。この ID は単一の Google アカウント(お客様のアカウント)とペアリングされ、Google API でユーザー情報を取得するために使用できます。

「これらの漏洩は、ユーザーによる特別な操作を必要としないことに注意してください」と報告書は警告している。「バックグラウンドで実行され、利用可能なデータベースについてIndexedDB APIに継続的にクエリを実行するタブまたはウィンドウは、ユーザーが他のどのウェブサイトにアクセスしたかをリアルタイムで把握できるのです。」

プライベートモードでは役に立ちません

FingerprintJS は、Alexa の上位 1,000 件のウェブサイトのうち、IndexedDB を使用しているウェブサイトの数を調べました。その結果、30 件以上のウェブサイトがホームページ上で直接 API と連携していることがわかりました。ユーザーによる特別な操作は必要ありませんでした。そのため、一部のウェブサイトがユーザーのデータを取得しても、ユーザーにはそれがまったく気づかれない可能性があります。

「ウェブサイトはサブページ、特定のユーザーアクションの後、またはページの認証された部分でデータベースとやりとりすることがあるため、現実のシナリオではこの数値は大幅に高くなると思われます」とFingerprintJSは述べています。

残念ながら、このバグはSafariのプライベートモードにも影響を及ぼします。しかし、プライベートモードではブラウジングセッションが1つのタブに制限されるため、複数のサイトで利用できる情報量が大幅に減少します。

Safariのバグがあなたに影響しているか確認する

Safariのバグがあなたに影響するかどうかは、FingerprintJSの概念実証ページにアクセスすれば確認できます。ワンクリックで、Safariがあなたに関するどのようなデータを漏洩しているかを確認できます。また、検出可能なすべてのGoogleユーザーIDも表示されます。これはデモ用のシンプルなアプリであり、完全に安全です。

FingerprintJSは、2021年11月28日にWebKit Bug Trackerを通じてこのプライバシー脆弱性を報告しました。まだ修正はされていません。Safari 15でも、JavaScriptを完全にブロックする以外に、自分自身を守る方法はほとんどありません。しかし、これにより多くのウェブサイトが意図したとおりに動作しなくなります。しかも、完全に効果的というわけではありません。

この問題が心配な場合は、Apple が修正プログラムを公開するまで、別のウェブブラウザをご利用いただくことをお勧めします。また、Safari のアップデートがリリースされたら、すぐにインストールしてください。

Related Posts

PadPivot:最高のiPadスタンド [レビュー]
PadPivot:最高のiPadスタンド [レビュー]
vyzf
Apple-1、工場で封印された2007年版iPhoneなど、Appleの希少品がオークションに出品される
Apple-1、工場で封印された2007年版iPhoneなど、Appleの希少品がオークションに出品される
vyzf
T-Mobile、HSPA+拡大で新たに14都市をiPhone対応に
T-Mobile、HSPA+拡大で新たに14都市をiPhone対応に
vyzf
脱獄により、Microsoft Surface RTタブレットにMac OS(と希望)が導入可能
脱獄により、Microsoft Surface RTタブレットにMac OS(と希望)が導入可能
vyzf
ビッグ・コンが現代のドキュメンタリー詐欺に陥る [Apple TV+ レビュー]
ビッグ・コンが現代のドキュメンタリー詐欺に陥る [Apple TV+ レビュー]
vyzf
Humble Bundleが復活:好きな金額を支払ってAndroidで未公開のゲーム4本を入手
Humble Bundleが復活:好きな金額を支払ってAndroidで未公開のゲーム4本を入手
vyzf

You may also like

脱獄により、Microsoft Surface RTタブレットにMac OS(と希望)が導入可能
脱獄により、Microsoft Surface RTタブレットにMac OS(と希望)が導入可能
Benchmarks
PadPivot:最高のiPadスタンド [レビュー]
PadPivot:最高のiPadスタンド [レビュー]
Benchmarks
Humble Bundleが復活:好きな金額を支払ってAndroidで未公開のゲーム4本を入手
Humble Bundleが復活:好きな金額を支払ってAndroidで未公開のゲーム4本を入手
Benchmarks
ビッグ・コンが現代のドキュメンタリー詐欺に陥る [Apple TV+ レビュー]
ビッグ・コンが現代のドキュメンタリー詐欺に陥る [Apple TV+ レビュー]
Apple
Apple-1、工場で封印された2007年版iPhoneなど、Appleの希少品がオークションに出品される
Apple-1、工場で封印された2007年版iPhoneなど、Appleの希少品がオークションに出品される
Apple
T-Mobile、HSPA+拡大で新たに14都市をiPhone対応に
T-Mobile、HSPA+拡大で新たに14都市をiPhone対応に
Benchmarks