Safari、Googleアカウント名や閲覧履歴が漏洩する脆弱性

Safari、Googleアカウント名や閲覧履歴が漏洩する脆弱性

2022年1月18日

セキュリティツールを提供するFingerprintJSが、Safari 15(Mac、iOS、iPadOS)の脆弱性について報告しています。この脆弱性はSafariのIndexedDB API実装にバグがあるというもので、Googleアカウント名やウェブ閲覧履歴などが漏洩する可能性があるということです。

Safari、IndexedDB API実装にバグ

safari-bug-leak.jpg
Exploiting IndexedDB API information leaks in Safari 15

FingerprintJSの報告によると、Safari 15にはIndexedDB API実装にバグがあり、個人情報が漏洩する可能性があるということです。

SafariのIndexedDB APIが「同一オリジンポリシー」に違反しているという脆弱性で、悪意のあるwebサイトを開いた場合、閲覧したサイトやGoogleアカウント名などが漏洩される可能性があります。

この脆弱性の影響は、MacのSafari、iOS/iPadOSではSafariだけでなくすべてのブラウザが影響を受けます。

Macの場合はChromeなど別ブラウザを利用することで回避できますが、iPhoneやiPadでは他のブラウザも影響を受けるため回避不可能。Javascriptをブロックすることで回避できますが、ブラウザの利便性は損なわれます。

FingerprintJSは昨年11月28日にAppleに脆弱性を報告しているということですが、記事公開時点では修正アップデートは配信されていません。

drip公認バリスタ