Appleは、最近発見されたSafariの追跡バグの修正プログラムを開発中である。このバグにより、どのウェブサイトでもユーザーの閲覧履歴を追跡でき、追跡目的でGoogle IDにアクセスできてしまう。
- AppleのSafariにおけるIndexedDB APIの実装にはバグがある
- ウェブサイトはあなたの閲覧履歴やGoogle IDにアクセスする可能性があります
- アップルは現在このバグの修正に取り組んでいることを確認した。
Safariの新しい追跡バグにより、閲覧履歴が危険にさらされる
2022年1月16日(日)、ブラウザフィンガープリンティングサービスFingerprintJSが、iOS 15、iPadOS 15、macOS MontereyのSafariに影響を与えるこのバグを報告しました。MacRumorsが発見したGitHub上のWebKitコミットによると、Appleは迅速に対応し、この最新のSafariトラッキングバグに対する修正をすでに準備しているとのことです。
原因は、AppleのIndexedDB実装です。これは、データベースにデータを保存するためのクライアントサイドストレージを提供するブラウザAPIです。IndexedDB APIは、あるウェブサイトが別のウェブサイトによって生成されたデータベースにアクセスするのを防ぎ、これは設計上の仕様です。しかし、Safariブラウザのバグにより、ウェブサイトは閲覧履歴など、自ら生成していないデータにアクセスできてしまいます。参考記事:Mac初心者向け!Safari設定のカスタマイズ方法
FingerprintJS ブログの投稿より:
これらのリークは、ユーザーによる特別な操作を必要としないことにご注意ください。バックグラウンドで実行され、利用可能なデータベースをIndexedDB APIに継続的にクエリするタブまたはウィンドウは、ユーザーが他のどのウェブサイトにアクセスしているかをリアルタイムで把握できます。あるいは、ウェブサイトがiframeまたはポップアップウィンドウで任意のウェブサイトを開くことで、その特定のサイトに対してIndexedDBベースのリークをトリガーすることも可能です。
競合を防ぐため、IndexedDB は一意のデータベース名を生成しますが、場合によってはユーザー固有の識別子が含まれることがあります。一部のウェブサイトでは、データベース名にユーザーの Google ID が使用されているため、これを悪用されてユーザーの個人情報が漏洩する可能性があります。
FingerprintJD は、これを実際に示す特別な Web ページを SafariLeaks.com に作成しました。
SafariのIndexedDBバグから身を守る方法
Appleはこのバグの修正に取り組んでいますが、この問題の影響を最小限に抑えるためにできることがいくつかあります。Safariの設定でJavaScriptを無効にし、特定のウェブサイトで有効にすることもできます。面倒に感じる場合は、Safariのシークレットウィンドウを使用してプライベートブラウジングを行い、問題を1つのタブに限定してください。
最後の手段として、修正が利用可能になるまで一時的に別のブラウザに切り替えてください。
