FingerprintJS のテストサイト Safari Leaks を使えば、この問題の実態を実際に確認できます。Safari で開くと、サイトはすぐに Google ユーザー ID を取得できる可能性があります。取得できない場合でも、新しいタブでテストサイトのいずれかを開き、Safari Leaks に戻ると、閲覧履歴がほぼ即座に報告されているのを確認できます。Safari が正常に動作していれば、Safari Leaks は自身のドメインで作成されたデータベースのデータにしかアクセスできないため、この種の情報にアクセスすることはできません。しかし、Safari Leaks は Alibaba、Instagram、Twitter、そして IndexedDB JavaScript API を使用する他のウェブサイトから情報を収集できる可能性があります。

FingerprintJS はこのバグを最初に報告しましたが、1月14日のブログ投稿が初めて公開されたわけではありませんでした。FingerprintJS によると、この問題は昨年11月28日に WebKit Bug Tracker に投稿されましたが、Apple がパッチの開発を開始したのは1月16日（日）になってからでした。つまり、このバグは少なくとも過去7週間、未修正のまま放置されていたことになります。

現在、Apple はこのセキュリティ上の欠陥に対するパッチに正式に取り組んでいますが、修正が提供されるまでは、Safari は脆弱なままです。

Safariのセキュリティ脅威にどう対処するか

Macをお使いの場合、別のブラウザを使うのが簡単な回避策です。Chrome、Firefox、Edge、Operaなど、お好きなブラウザをお選びください。残念ながら、iOSやiPadOSをお使いの場合は同じことが言えません。これらのブラウザはApp Storeで見つけることができますが、Macで利用できるブラウザとは厳密には異なります。

AppleはAppleなので、開発者がiPhoneやiPad向けに独自の本格的なブラウザを開発することを許可していません。開発者はSafariに独自のブラウザ機能を追加し、独立したブラウザとして「販売」することができます。iOS版Chromeはデスクトップブラウザのモバイル版のように見えるかもしれませんが、実際にはGoogleのスキンを載せたSafariです。確かに、MacとiPhoneのChrome間でデータ同期などの便利な機能は使えますが、モバイル版こそがAppleの核となる部分です。

通常、これは大した問題ではありません（ただし、面倒ではあります）。しかし、セキュリティ上の問題により、Macのようにブラウザを切り替えることができません。Appleが3大プラットフォームのSafariに修正プログラムを提供するまでは、どの「ブラウザ」を使っていても、iPhoneやiPadでインターネットを利用するのは危険です。

この記事は 1 月 26 日水曜日に更新され、Safari のこのバグに対する Apple のセキュリティ パッチに関する情報が追加されました。

[9to5Mac]

次の記事へスクロールしてください