Safari 15に閲覧履歴や個人情報が漏洩するセキュリティ上の不具合が発見される、iPhoneおよびiPadユーザーに大きな影響も

画像: Flickr(iphonedigital)

記事作成時点でAppleの最新のmacOS、(iPhone用の)iOS、(iPad用の)iPadOSで標準WebブラウザとされているSafari 15に個人情報が漏えいしてしまう脆弱性が発見されました。macOSのユーザーにはこの問題を回避する方法は存在しますが、iPhoneおよびiPadユーザーには現時点で回避する術は存在しないとのことです。

この脆弱性はSafariで実装されているIndexed DBと呼ばれるデータ保存処理のバグによって顕在化したもの。記事作成時点で最新バージョンのmacOSおよびiOS(iPhone用OS)、iPadOS(iPad用OS)上のSafari 15を使用するユーザーすべてがこの脆弱性の影響を受けます。

基本的な対策として「脆弱性が修正されるまでSafariを使用しないこと」が挙げられますが、macOSは標準WebブラウザをChromeやFirefox等に変更できますが、iPhoneやiPadでは使用するブラウザを変更しても、HTMLレンダリングエンジンを「Safariから変更できない特殊仕様」のため、後者のユーザーに回避策は存在しません。

今回の問題は2021年にFingerprintJSによって発見されており、同年11月28日にはWebKit Bug Trackerに既に報告されていました。しかし、Appleはこの問題に対して、修正の対応を行っておらず、記事作成時点でもセキュリティアップデートは提供されていないようです。

FingerprintJSによると、今回の脆弱性は「AppleがSafariに実装したIndexed DBが本来遵守すべき同一生成元ポリシー(Same-Origin Policy)を何らかの理由で違反しており、その結果、第三者によって『ユーザーの閲覧履歴』や『Googleアカウント』に紐づいた複数のサービス情報にアクセス可能な状態」になっているとのことです。

iPhoneやiPadを使用しているユーザーは今回の脆弱性を完全に回避する方法は存在しませんが、どうしても回避したい人は「SafariのJavaScript実行を無効化する」方法を試すことも考えられます。しかし、記事作成時点で多くのサイトはJavaScriptがないとまともに動作しないため、ほとんどの有名サイトがまともに閲覧できない状態になってしまうため、オススメの方法とはいえません。

ペンギン議長の一言
なぜ、iPhoneやiPadではWebブラウザについて特殊すぎる仕様を採用しているんですかね。macOSと同じようにすればいいと思うのですが。