ネットの不正検出APIを提供する米FingerprintJSは1月15日(現地時間)、米AppleのWebブラウザ「Safari 15」に、任意のWebサイトでユーザーのアクティビティを追跡し、Googleアカウントを識別するためのIDを確認できてしまうバグがあると発表した。バグ管理システム「WebKit Bugzilla」に2021年11月28日に報告した。
同社は17日に公式ブログを更新し、Appleが16日にBugzillaでこの問題を解決済みとしたが、Safariのアップデートが公開されるまではユーザーにとっての危険は解消されないと警告した。
FingerprintJSは、アップデートが公開されるまで、macOSユーザーは別のWebブラウザを使うことを勧めている。iOSおよびiPadOSの場合は、AppleがサードパーティにもWebブラウザでWebKitを使うことを要求しているため、別のWebブラウザを使っても問題を回避できない。
このバグは、クライアント側ストレージに大量のデータを保持するためのAPI「IndexedDB」に関連するもの。このAPIは、あるWebサイトで集めたユーザーデータは他のWebサイトからはアクセスできないようにするというWebKitのポリシーに準拠しているはずだが、Safari 15では違反しており、「同じブラウザセッション内の他のすべてのアクティブなフレーム、タブ、ウィンドウに同じ名前のデータベースが作成される」ため、他のWebサイトがそのWebサイトのデータベース名を見ることができてしまうという。
FingerprintJSは、Googleアカウントを使うWebサイトはGoogleユーザーIDを使ってデータベース名を生成するので、Safariのバグによって他のWebサイトからプロフィール画像などのユーザー情報にアクセスできてしまうとしている。同社は、Googleカレンダー、YouTube、Twitter、Bloombergをバグの影響を受けるWebサイトとして紹介した。
同社は公式ブログでこの問題を説明するデモも公開している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR