みなさんは普段どのようなWebサイトを閲覧しているだろうか。仕事関連から趣味に関わることまで、様々なサイトを訪れていることだろう。現在Safariで、そんな閲覧履歴やGoogleアカウントの情報などが第三者に見られてしまうおそれのある脆弱性が存在することがわかり、現在話題となっている。
今回は、この脆弱性で起こり得る危険性やネットの反応などをお伝えしていきたい。
アップルのSafariに存在する新たな脆弱性が明らかに
Safariはアップル製のデバイスで広く使われているブラウザだ
アメリカのFingerprintJS社は1月15日、自身のブログ上でこの問題に言及。macOSのSafari 15などで、悪意のあるWebサイトがIndexedDBの持つ脆弱性を突くことで同サイトを訪れたユーザーの閲覧履歴やデータベース名などの情報を確認することができる、と指摘している。
この脆弱性は既に2021年11月28日にWebKitバグトラッカーに報告されているものの、15日にFingerprintJS社がブログで脆弱性の存在を公表するまで対応が行われていなかったようだ。17日には、追記するかたちで「レポートを解決済みとしてマークした」とアップルが脆弱性の修正を実施したことを確認したとのことだが、「これらの変更がリリースされるまで、エンドユーザーのバグは継続します」とも述べており、修正パッチが配布されるまではユーザーが脅威に晒され続けていることに警鐘を鳴らした。(2022年1月18日時点で修正パッチの配布は未実施)
一方でこの脆弱性は「閲覧できる」レベルに留まっているため、データに直接アクセスし改ざんすることや、より詳細な個人情報を閲覧することはできないという。しかし誰かもわからない相手に自分のWebサイトの閲覧履歴を見られていて、気にしない人のほうが少ないはずだ。
ネット上ではSafariの信頼が大きく揺らいでいる
アップルの製品は生活の様々な場面で利用されている
このニュースにネット上からは「なかなかヤバい」「なにが『プライバシーはiPhone』だ?」「中身は見えないのでそこまで致命的ではないけど、まあよろしくないわな」「情報として売れそうなので、悪意のあるサイト主にとっては美味しい話」など様々な反応が寄せられている。
また、「標準ブラウザ変えとく?」「Safari使ってる人はChrome入れたほうがいいかもしれぬ」「Safariは対策まで使用中止がいいかもね」といったSafariの使用を不安視するユーザーも多く見られた。中には「Safari、次世代Internet Explorer と言われても仕方ない気がしてきた」と、かつて圧倒的なシェアを誇りながらも脆弱性の存在が理由で開発が終了してしまったIEを引き合いに出す声も聞こえてきた。
アプリケーションの脆弱性は開発側とハッカーのいたちごっこであることは間違いなく、ひとつ脆弱性を解消してもまた新たな弱点が見つかってしまうのは仕方のないことだ。しかしそれは危険性が低いからと脆弱性を放置する言い訳にはならない。アップルには素早い対応をしてもらいたいところだ。
引用元:Exploiting IndexedDB API information leaks in Safari 15(Safari15でのIndexedDBAPI情報リークの悪用)【FingerprintJS】
※サムネイル画像(Image:K303 / Shutterstock.com)