ブラウザのフィンガープリントおよび不正検出サービスであるFingerprintJSの調査結果によると、Safari 15のバグにより、オンラインアクティビティとGoogleアカウントにリンクされた個人情報(9to5Mac経由)が明らかになる可能性があります。 この問題は、ブラウザにデータを保存するAPIであるIndexedDBのAppleによる実装に関連しています。
IndexedDBは、すべてのWebデータベースと同様に、同一生成元ポリシーに準拠しています。つまり、1つのオリジンが他のオリジンで生成されたデータと対話することはできません。 同一生成元ポリシーは、あるタブで電子メールアカウントを開き、別のタブで有害なサイトにアクセスした場合に、悪意のあるページが電子メールを表示したり改ざんしたりするのを防ぎます。
GoogleユーザーIDを他のサイトに公開するSafariのバグ
FingerprintJSによると、Safari15でのAppleのIndexedDBAPIの実装は、同一生成元ポリシーに違反しています。 WebサイトがSafariのデータベースと対話するとき、FingerprintJSは、「同じブラウザセッション内の他のすべてのアクティブなフレーム、タブ、およびウィンドウに同じ名前の新しい(空の)データベースが作成される」と主張します。
これは、他のWebサイトが、他のサイトで開発された他のデータベースの名前を表示する可能性があることを示しています。このデータベースには、ユーザーのIDに固有の情報が含まれている場合があります。 FingerprintJSは、YouTube、Googleカレンダー、GoogleKeepなどのGoogleアカウントを使用するWebサイトを識別します。 GoogleユーザーIDにより、Googleはプロフィール画像などの公開されているデータにアクセスできるため、Safariの脆弱性により他のWebサイトに公開される可能性があります。
これは大きなバグです。 OSXでは、Safariユーザーは(一時的に)別のブラウザーに切り替えて、オリジン間でデータが漏洩するのを防ぐことができます。 Appleは他のブラウザエンジンを禁止しているため、iOSユーザーにはそのような選択肢はありません。 https://t.co/aXdhDVIjTT
—ジェイクアーチボルド(@jaffathecake) 2022年1月16日
インド政府はChromeユーザーにセキュリティの問題について警告しています
FingerprintJSは、Mac、iPhone、またはiPadにSafari15以降が搭載されているかどうかを評価できる概念実証デモを作成しました。 デモンストレーションでは、ブラウザのIndexedDBの欠陥を使用して、開いた(または最近開いた)サイトを特定し、この欠陥を利用するサイトがGoogleユーザーIDから情報を収集する方法を示します。 現在、Instagram、Netflix、Twitter、Xboxなど、バグの影響を受ける30の主要なサイトを検出するだけですが、さらに多くの影響を与える可能性があります。
残念ながら、このバグはSafariのプライベートブラウジングモードにも影響するため、これについてできることはあまりありません。 macOSで別のブラウザを使用することもできますが、すべてのブラウザは、iOSでのAppleのサードパーティブラウザエンジンの禁止の影響を受けます。 11月28日、FingerprintJSはWebKitバグトラッカーへのリークを報告しましたが、Safariへのアップデートはまだありません。