Apple Safari15のIndexedDBAPIの実装で導入されたソフトウェアのバグは、悪意のあるWebサイトによって悪用され、Webブラウザでのユーザーのオンラインアクティビティを追跡し、さらに悪いことに、ユーザーのIDを明らかにする可能性があります。
「したがって、ドメイン内に保存されているデータにアクセスすることはできますが、異なるドメイン間でデータにアクセスすることはできません。」
もちろん、YouTubeやGoogleカレンダーなどのGoogleサービスサービスでは、これらのウェブサイトが以下を含むIndexedDBデータベースを作成するため、ユーザーを正確に識別できます。
「これは、信頼できないまたは悪意のあるWebサイトがユーザーの身元を知ることができることを意味するだけでなく、同じユーザーが使用する複数の個別のアカウントをリンクすることもできます」とBajanik氏は述べています。
さらに悪いことに、ユーザーがブラウザウィンドウの同じタブ内から複数の異なるWebサイトにアクセスした場合、リークはSafari15のプライベートブラウジングモードにも影響します。
「OSXでは、Safariユーザーは(一時的に)別のブラウザに切り替えて、オリジン間でのデータ漏洩を回避できます。Appleは他のブラウザエンジンを禁止しているため、iOSユーザーはそのような選択肢がありません。」
New Unpatched Apple Safari Browser Bug Allows Cross-Site User Tracking
A new unpatched flaw in Apple Safari 15's implementation of the IndexedDB API could be exploited by online trackers to fingerprint users.
thehackernews.com
コメント