AppleのサードパーティーCookie制限機能「ITP」の複数の欠陥をGoogleが指摘
AppleがSafariに搭載するクロスサイトトラッキング制限機能「ITP」に個人情報漏えいにつながる欠陥があったと、Googleが論文で指摘した。
米Googleの情報セキュリティエンジニアリングチームは1月22日(現地時間)、米AppleのSafariブラウザの「Intelligent Tracking Prevention」(ITP)にある個人情報の漏えいにつながる欠陥についての論文を公開(リンク先はPDF)した。
ITPは、2017年10月にSafariに搭載されたプライバシー機能。サードパーティーCookieによるクロスサイトトラッキングを制限する。Googleは、ITPのリストはユーザーがアクセスしたWebサイトに関する情報を暗黙的に保存するためアクセス可能になっていたことや、攻撃者がフィンガープリントを作成できる欠陥があったと指摘する。セキュリティ研究者のルカス・オルジェニク氏はこの論文を高く評価し「これは非常に深刻なセキュリティおよびプライバシー上のバグだ」とツイートした。同氏は「プライバシー機能にあるプライバシーバグは思いがけないものだ」ともツイートした。
Appleは昨年12月、ITPの機能強化を発表する公式ブログで、「ITPでの悪用で起こりうることに関する報告を送ってくれたことに対し、Googleに感謝する」としているが、ITPに欠陥があったとは書いていない。
Googleは論文で、「(Appleの)SafariチームがWebのプライバシーを改善すると確信し、彼らの継続中の取り組みを賞賛する」としている。
GoogleのChromeチームのディレクター、ジャスティン・シュー氏はオルジェニク氏のツイートのスレッドに、Appleは問題を解決したとしているが、まだ根本的な解決はできていないはずだとコメントした。ITPと同様のクロスサイトトラッキング制限の欠陥はChromeの「XSS Auditor」でも確認できたため、問題のある部分のコードを削除せざるを得なかったという。「これはITPにとって重要な部分なので、Appleがどうするつもりなのか私には分からない」とシュー氏はツイートした。
GoogleはサードパーティーCookieを制限するChrome以外のWebブラウザの方針に懸念を表明しており、ChromeではサードパーティーCookieに代わる技術を提供する計画を発表した。
関連記事
- Google、サードパーティー製CookieのChromeでのサポートを2年以内に終了へ
Googleが、Webプライバシー強化のためにサードパーティー製CookieのChromeでのサポートを段階的に廃止すると発表した。FirefoxやSafariは既にブロックしているが、安全な代替ツールを確立するのが重要だとしている。 - 「GoogleがiPhoneユーザーの不安あおった」、iOSの脆弱性悪用報告にAppleが反論
Googleは修正前のiOSの脆弱性が攻撃に利用されていた実態を報告し、Appleはその報告に対して「GoogleがiPhoneユーザーの不安をあおった」と非難している。 - Appleが「iOS 12.1.4」で対処した脆弱性の詳細をGoogleが明らかに iPhoneへの無差別攻撃に長年悪用されていた
Googleの脆弱性調査プロジェクト「Project Zero」が、Appleが2月の「iOS 12.1.4」で対処した脆弱性について説明した。これらの脆弱性を悪用するエクスプロイトは幾つかのWebサイトに仕込まれ、訪問するiOS 10以降搭載のiPhoneを無差別に攻撃していた。 - Appleが考えるプライバシーとセキュリティ フェデリギ上級副社長語る
Appleのクレイグ・フェデリギ氏が、プライバシーとセキュリティの取り組みについてインタビューで語った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.