Apple、Webサイトで最近の閲覧アクティビティを解読できるSafariのバグの修正を準備

ブラウザのフィンガープリンティング サービスである FingerprintJS によると、私たちは先週末、WebKit の IndexedDB と呼ばれる JavaScript API の実装にバグがあることを報告しました。このバグにより 、ユーザーの最近の閲覧履歴やユーザーの身元さえも明らかになってしまう可能性があります 。

GitHub の WebKit コミット によると、Apple はその後このバグの修正を準備しましたが、Apple が Safari の更新バージョンを含む macOS Monterey、iOS 15、および iPadOS 15 のアップデートをリリースするまで、その修正はユーザーに提供されません。 Appleは、修正プログラムが一般公開されるまでの期間を尋ねられたが、コメントを拒否した。

このバグにより、クライアント側のデータ ストレージに IndexedDB を使用する Web サイトは、ユーザーの閲覧セッション中に他の Web サイトによって生成された IndexedDB データベースの名前にアクセスできるようになります。このバグにより、データベース名は各 Web サイトに固有であることが多く、場合によってはデータベース名にユーザーの身元を明らかにする可能性のあるユーザー固有の識別子が含まれるため、ある Web サイトがユーザーが別のタブやウィンドウで訪問する他の Web サイトを追跡できる可能性があります。

FingerprintJS には、 このバグのライブ デモ があり、Apple のオープンソース ブラウザ エンジン WebKit を使用するブラウザの新しいバージョン (macOS 用 Safari 15、iOS 15 および iPadOS 15 のすべてのバージョンの Safari など) に影響します。このバグは、Chrome などのサードパーティ ブラウザにも影響します。 Apple はすべての iPhone および iPad ブラウザーで WebKit を使用することを要求しているため、iOS 15 および iPadOS 15 では Edge が使用されます。

FingerprintJS によると、このバグは macOS 用 Safari 14 や iOS 14 および iPadOS 14 上のブラウザには影響しません。FingerprintJS には 詳細が記載されたブログ投稿が あります。