米Googleの情報セキュリティエンジニアリングチームは1月22日(現地時間)、米AppleのSafariブラウザの「Intelligent Tracking Prevention」(ITP)にある個人情報の漏えいにつながる欠陥についての論文を公開(リンク先はPDF)した。
ITPは、2017年10月にSafariに搭載されたプライバシー機能。サードパーティーCookieによるクロスサイトトラッキングを制限する。Googleは、ITPのリストはユーザーがアクセスしたWebサイトに関する情報を暗黙的に保存するためアクセス可能になっていたことや、攻撃者がフィンガープリントを作成できる欠陥があったと指摘する。セキュリティ研究者のルカス・オルジェニク氏はこの論文を高く評価し「これは非常に深刻なセキュリティおよびプライバシー上のバグだ」とツイートした。同氏は「プライバシー機能にあるプライバシーバグは思いがけないものだ」ともツイートした。
Appleは昨年12月、ITPの機能強化を発表する公式ブログで、「ITPでの悪用で起こりうることに関する報告を送ってくれたことに対し、Googleに感謝する」としているが、ITPに欠陥があったとは書いていない。
Googleは論文で、「(Appleの)SafariチームがWebのプライバシーを改善すると確信し、彼らの継続中の取り組みを賞賛する」としている。
GoogleのChromeチームのディレクター、ジャスティン・シュー氏はオルジェニク氏のツイートのスレッドに、Appleは問題を解決したとしているが、まだ根本的な解決はできていないはずだとコメントした。ITPと同様のクロスサイトトラッキング制限の欠陥はChromeの「XSS Auditor」でも確認できたため、問題のある部分のコードを削除せざるを得なかったという。「これはITPにとって重要な部分なので、Appleがどうするつもりなのか私には分からない」とシュー氏はツイートした。
GoogleはサードパーティーCookieを制限するChrome以外のWebブラウザの方針に懸念を表明しており、ChromeではサードパーティーCookieに代わる技術を提供する計画を発表した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR