Safariのバグがユーザーのブラウザ履歴とGoogleアカウント情報を漏洩

AppleのSafari 15のソフトウェアバグにより、任意のウェブサイトがあなたの最近のインターネット履歴や一部のGoogleアカウント情報を取得でき、さらにあなたの身元を明らかにする可能性があります。

FingerprintJSというブラウザフィンガープリンティングおよび詐欺検出サービスのブログ投稿によると、このバグはAppleのWebKitウェブブラウザ開発エンジンの一部であるIndexedDB APIのSafari 15での実装に導入されました。

IndexedDBは、重要なデータを保持するために設計されたクライアントサイドストレージ用のブラウザAPIであり、すべての主要なブラウザでサポートされており、非常に一般的に使用されています。

ほとんどの現代的なウェブブラウザ技術と同様に、IndexedDBは同一オリジンポリシーに従っています。これは、1つのオリジンから読み込まれたドキュメントやスクリプトが他のオリジンのリソースとどのように相互作用できるかを制限する基本的なセキュリティメカニズムです。インデックス付きデータベースは特定のオリジンに関連付けられています。

「異なるオリジンに関連付けられたドキュメントやスクリプトが、他のオリジンに関連付けられたデータベースと相互作用する可能性は決してあってはなりません」とブログは述べています。

macOSのSafari 15およびiOSおよびiPadOS 15のすべてのブラウザでは、IndexedDB APIが同一オリジンポリシーに違反しています。ウェブサイトがSafari内のデータベースと相互作用すると、FingerprintJSによれば、同じブラウザセッション内のすべての他のアクティブなフレーム、タブ、およびウィンドウに同じ名前の新しい（空の）データベースが作成されます。

異なるオリジン間でデータベース名が漏洩するという事実は明らかなプライバシー侵害です。これにより、任意のウェブサイトがユーザーが異なるタブやウィンドウで訪れるウェブサイトを知ることができます。これは、データベース名が通常ユニークでウェブサイト特有であるため可能です。

さらに、FingerprintJSは、いくつかのケースでウェブサイトがデータベース名にユニークなユーザー固有の識別子を使用していることを観察しました。これは、認証されたユーザーがユニークかつ正確に識別できることを意味します。

人気のある例としては、YouTube、Googleカレンダー、Google Keepがあります。これらのすべてのウェブサイトは、認証されたGoogleユーザーIDを含むデータベースを作成し、ユーザーが複数のアカウントにログインしている場合、これらのすべてのアカウントに対してデータベースが作成されます。

GoogleユーザーIDは、Googleによって生成される内部識別子です。これは、単一のGoogleアカウントをユニークに識別し、Google APIを使用してアカウント所有者の公開個人情報を取得するために使用できます。

「これは、信頼できないまたは悪意のあるウェブサイトがユーザーの身元を知ることができるだけでなく、同じユーザーが使用する複数の別々のアカウントをリンクさせることも可能にします」とFingerprintJSは書いています。

これらの漏洩は特定のユーザーアクションを必要としないことに注意してください。バックグラウンドで実行され、利用可能なデータベースのためにIndexedDB APIを継続的にクエリするタブやウィンドウは、ユーザーがリアルタイムで訪れる他のウェブサイトを知ることができます。あるいは、ウェブサイトは特定のサイトのためにIndexedDBベースの漏洩を引き起こすために、任意のウェブサイトをiframeまたはポップアップウィンドウで開くことができます。

FingerprintJSは、ウェブサイトが訪問者のGoogleアカウントの身元をどのように知ることができるかを示すデモページを作成しました。このデモはsafarileaks.comで利用可能です。Mac、iPhone、またはiPadでSafari 15以上を使用している場合は、試してみることができます。現在、このデモはGoogleカレンダー、YouTube、Twitter、Bloombergを含む他のブラウザタブやウィンドウにおける20以上のウェブサイトの存在を検出するだけです。

FingerprintJSは、2021年11月28日にWebKitバグトラッカーにSafariのバグをバグ233548として報告したと述べていますが、Appleはまだこの問題を修正していません。

それまでの間、唯一の解決策は、すべてのJavaScriptをデフォルトでブロックし、信頼できるサイトでのみ許可することかもしれません。MacのSafariユーザーにとっての別の選択肢は、一時的に別のブラウザに切り替えることです。残念ながら、iOSおよびiPadOSでは、すべてのブラウザが影響を受けているため、これは選択肢ではありません。