Safariのバグにより、Webサイトは最近のブラウジング行動をリアルタイムで追跡できる
ブラウザフィンガープリントサービスのFingerprintJSが共有したブログ記事によると、IndexedDBと呼ばれるJavaScript APIのWebKit実装のバグは、最近の閲覧履歴や、さらには自分の身元までも明らかにする可能性があるとのことです
このバグは、IndexedDBを使用するすべてのWebサイトが、ユーザーのブラウジングセッション中に他のWebサイトが生成したIndexedDBデータベースの名前にアクセスできるようにするものです
このバグは、データベース名がしばしばユニークで各Webサイトに固有のものであるため、あるWebサイトが、ユーザーが異なるタブやウィンドウで訪れた他のWebサイトを追跡することを可能にする可能性があります
本来であれば、Webサイトは自分自身の IndexedDB データベースにしかアクセスできないのが正しい正常な動作です
この個人情報は、悪意のある行為者がユーザーの身元を特定するのに役立つ可能性があります
このバグは、Mac版Safari 15、iOS 15およびiPadOS 15の全バージョンのSafariを含む、AppleのオープンソースブラウザエンジンWebKitを使用するブラウザの新しいバージョンに影響を及ぼします
また、AppleはiPhoneとiPadですべてのブラウザがWebKitを使用することを要求しているため、このバグはiOS 15とiPadOS 15のChromeなどのサードパーティブラウザにも影響を及ぼします
FingerprintJSはこのバグのライブデモを公開しており、Mac版Safari 14のような古いブラウザは影響を受けないことを示しています
FingerprintJSは、Webサイトが他のWebサイトが生成したIndexedDBデータベース名にアクセスするために、ユーザーのアクションは必要ないことを指摘しています
「また、Webサイトは、特定のサイトに対するIndexedDBベースのリークを引き起こすために、任意のWebサイトをiframeまたはポップアップウィンドウで開くことができます
プライベートブラウジングモードは、影響を受けるバージョンのSafariでは、このバグから保護されません
ユーザーは、Appleがソフトウェアアップデートでこのバグに対処するのを待つ必要があります
その間、Safari 15のユーザーはMac上で一時的に別のブラウザに切り替えることができますが、iPhoneやiPadではすべてのブラウザがWebKitバグの影響を受けるため、これは不可能です
(Via MacRumors.)
LEAVE A REPLY