「Safari 15」にWeb履歴やGoogleアカウント情報がリークする可能性のあるバグ 修正はまだ
AppleのWebブラウザ「Safari 15」に、ユーザーのWeb履歴や個人情報がリークする恐れのあるバグがあるとFingerprintJSが公表した。iOSとiPadOSの場合はAppleが修正更新するまで回避対策がない。
ネットの不正検出APIを提供する米FingerprintJSは1月15日(現地時間)、米AppleのWebブラウザ「Safari 15」に、任意のWebサイトでユーザーのアクティビティを追跡し、Googleアカウントを識別するためのIDを確認できてしまうバグがあると発表した。バグ管理システム「WebKit Bugzilla」に2021年11月28日に報告した。
同社は17日に公式ブログを更新し、Appleが16日にBugzillaでこの問題を解決済みとしたが、Safariのアップデートが公開されるまではユーザーにとっての危険は解消されないと警告した。
FingerprintJSは、アップデートが公開されるまで、macOSユーザーは別のWebブラウザを使うことを勧めている。iOSおよびiPadOSの場合は、AppleがサードパーティにもWebブラウザでWebKitを使うことを要求しているため、別のWebブラウザを使っても問題を回避できない。
このバグは、クライアント側ストレージに大量のデータを保持するためのAPI「IndexedDB」に関連するもの。このAPIは、あるWebサイトで集めたユーザーデータは他のWebサイトからはアクセスできないようにするというWebKitのポリシーに準拠しているはずだが、Safari 15では違反しており、「同じブラウザセッション内の他のすべてのアクティブなフレーム、タブ、ウィンドウに同じ名前のデータベースが作成される」ため、他のWebサイトがそのWebサイトのデータベース名を見ることができてしまうという。
FingerprintJSは、Googleアカウントを使うWebサイトはGoogleユーザーIDを使ってデータベース名を生成するので、Safariのバグによって他のWebサイトからプロフィール画像などのユーザー情報にアクセスできてしまうとしている。同社は、Googleカレンダー、YouTube、Twitter、Bloombergをバグの影響を受けるWebサイトとして紹介した。
同社は公式ブログでこの問題を説明するデモも公開している。
関連記事
- Appleが9月に修正したCatalinaの脆弱性は香港市民への攻撃に悪用されていたとGoogle
GoogleのセキュリティチームTAGは、Appleが9月に修正したCatalinaのゼロデイ脆弱性について報告した。国家の支援を受ける犯罪者がこの脆弱性を悪用し、香港市民を攻撃していたとしている。 - Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表
Appleのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイの脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。 - 「AirTag」には“善きサマリア人攻撃”の恐れありとセキュリティ研究者がAppleに警告
Appleの紛失防止タグ「AirTag」は“善きサマリア人攻撃”の恐れありとセキュリティ研究者が語った。「紛失モード」のURLには電話番号とメールアドレス以外にも、例えば任意のコードを書き込めるからだ。 - iPhoneの「BlastDoor」も破るゼロクリック攻撃を研究者が確認
セキュリティ研究所Citizen Labは、バーレーン政府がNSOのスパイウェアで複数の人権活動家のiPhoneにゼロクリック攻撃を仕掛けていたと報告した。iOS 14.6搭載のiPhone 12 Pro Maxも侵入されていた。iMessageのエクスプロイト対策「BlastDoor」も回避された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.