iOS/iPadOSとmacOS用の最新版Safari 15にバグがあり、Googleアカウント情報や最近のブラウジング履歴が流出する恐れがあると報じられています。
Webブラウザ向けの指紋認証サービスを提供するFingerprintJSは、ブログ記事にてSafari 15にはIndexedDB実装にバグがあり、特定のWebサイトが自分のドメインのみならず、あらゆるドメインのデータベース名を見られると指摘しています。このデータベース名は、ルックアップテーブルから識別情報を抽出するために使用できると述べられており、実際に試せる概念実証デモも公開されています。
たとえばGoogleのサービスでは、ログインしているアカウントごとにIndexedDBインスタンスを保存しており、データベース名はGoogleユーザーIDに対応しています。ここで報告されている脆弱性を利用すれば、悪意あるサイトがユーザーのGoogle IDを抽出して、そのIDにより他の個人情報も抜き出せるというわけです。上記の概念実証デモでは、実際に(匿名であるはずの)アクセスした本人のGoogleプロフィール写真も表示されてしまいます。
このバグは、すべての IndexedDB データベースの名前がどのサイトでも参照できるだけであり、各データベースの実際のコンテンツへのアクセスは制限されているとのことです。
つまりデータベース名が分かるだけで、それ以上の中味を見たり、内容を改変したりはできないということ。GoogleユーザーIDはデーターベース名から分かるため個人を特定でき、またデータベース名から最近立ち寄ったサイトの履歴ものぞき見られるというわけです。
ちなみにChromeなど他のブラウザでの本来あるべき動作は、Webサイトが自分のドメイン名と同じドメイン名により作られたデータベースのみを見ることができる、というものです。
この脆弱性はiPhone、iPad、Macに搭載されたSafariの現在バージョンすべてで悪用できるとのこと。 FingerprintJSによると、11月28日にAppleにバグを報告したものの、まだ解決していないそうです。今後のアップルの対応を待ちたいところです。
(Source:FingerprintJS。Via 9to5Mac。Engadget日本版より転載)