主にSafari、およびすべてのiOSとiPadOSのブラウザで使用されているブラウザエンジンWebKitに脆弱性が発見され、閲覧中のWebサイト情報からGoogleアカウントのIDなどの個人情報が漏えいする可能性が指摘されています。
バグによりクロスサイトトラッキングが可能に
ブラウザベースの指紋認証サービスを提供するFingerprintJSは、WebKitに実装されているIndexedDBと呼ばれるJavaScript APIのバグにより、個人情報を含む最近のブラウジング履歴が漏れてしまう可能性がある、とブログ投稿で記しています。
IndexedDBは、大量のデータを保持するために設計されたクライアント側ストレージのためのブラウザAPIですが、発見されたバグにより、IndexedDBを使用する任意のWebサイトが、ユーザーのブラウジングセッション中に他のWebサイトが生成したIndexedDBデータベースの名前にアクセスすることが可能となります。データベース名はしばしばユニークで、各Webサイトに固有のものであるため、あるWebサイトが、ユーザーが別のタブやウィンドウで訪れた他のWebサイトを追跡できる可能性があるとのことです。
デモサイトが公開
FingerprintJSはデモサイトを公開しており、macOS上のSafariか、iOSとiPadOS上のすべてのブラウザで、どのような情報が取得され得るかを体験することができます。
なおFingerprintJSは、同社の製品では今回の脆弱性は使用しておらず、クロスサイトトラッキングサービスの提供は行っていない、と言明しています。同社はバグの修正がなるべく早く行われるよう、オープンな場で議論することを目的にライブデモを作成し、ソースコードリポジトリを公開して、誰でも利用できるようにした、と述べています。
Source:FingerprintJS via MacRumors
Photo:Apple
(lexi)
- Original:https://iphone-mania.jp/news-432916/
- Source:iPhone Mania
- Author:iPhone Mania