Apple Safariのプライバシーに関する重大なバグは、すべてのWebサイトがGoogleIDやその他の個人データにアクセスできることを意味します

プライバシーを気にする場合は、iPhoneを置く必要があります。Safariでの重大な実装バグの後、プライベートブラウジングモードを使用している場合でも、どのWebサイトでもプライベートデータと最近の閲覧履歴の一部を読み取ることができます。

問題は、SafariがWebアプリで一般的に使用されるブラウザベースのデータベースであるIndexedDBを実装する方法にあります。 ほとんどのブラウザは、WebサイトごとにIndexedDBの新しいインスタンスを作成します。このインスタンスには、そのWebサイトからのみアクセスできます。

ただし、Safariは、他のWebページの各Webページによって作成されたIndexedDBの空のバージョンを作成します。つまり、IndexedDB Safariは、同一生成元ポリシーを適切に尊重しません。

他のWebページ用に作成されたIndexedDBのシャドウコピーは空ですが、元のWebアプリによって作成された実際のデータベースと同じ名前であるため、個人情報が漏洩する可能性があります。 データベースが存在するだけで、他のWebページに、別のWebサイトにアクセスしたことが通知されます。たとえば、Netflix IndexedDBが存在すると、AmazonにNetflixユーザーであることを通知できます。 ただし、さらに悪いことに、データベースの名前によって資格情報が漏洩する可能性があります。 Googleアプリ（GmailやYouTubeなど）のデータベースの名前には、たとえばGoogleIDが含まれます。これは、プロフィール写真などの公開されている情報にアクセスするために使用できます。

バグは FingerprintJSによって発見および報告されました 28月XNUMX日ですが、これまでのところAppleは何の行動も起こしていません。

この問題は、FingerprintJSの概念実証Webサイトでテストできます。 こちら、最近30の異なる主要なWebサイトにアクセスしたかどうかを確認します。

macOSユーザーは代替ブラウザーを使用でき、使用する必要がありますが、iOSではすべてのブラウザーがSafari Webエンジンを使用します。つまり、すべてのiPhoneユーザーは、電話でブラウザーの使用を停止する以外に軽減策はありません。

以下のFingerprintJSの解説動画をご覧ください。

、 はじまり