最近、サイバーセキュリティチームは、iPhoneが思ったほど安全ではないことを発見しました。 iPhoneブラウザSafariのWebKitエンジンのIndexedDBAPIには脆弱性があり、この脆弱性を悪用した人にブラウジングアクティビティやユーザーのIDを開示する可能性があります。 IndexedDBは広く使用されているブラウザAPIです。クロスサイトスクリプティング攻撃によって引き起こされるデータ漏洩を防ぐために、IndexedDBは「同一生成元」ポリシーに従って、各データにアクセスできるリソースを制御します。
ただし、FingerprintJSのアナリストは、IndexedDB APIがmacOS上のSafari15で使用されるWebKitアプリの同一生成元ポリシーに準拠しておらず、機密データの漏洩につながることを発見しました。プライバシー侵害の脆弱性は、最新のiOSおよびiPadOSバージョンで同じブラウザエンジンを使用するWebブラウザにも影響します。
iOS、iPadOS、およびmacOSのSafari 15にIndexedDBを実装すると、データベース名が通常は一意でWebサイト固有の閲覧履歴であるかのように、同一生成元ポリシーに違反することで、同じセッションで作成されたデータベース名を任意のWebサイトで描画できます。同じ人に漏れました。
アナリストによると、この脆弱性を通じて誰かを特定するには、ログインしてYouTubeやFacebookなどの人気のあるWebサイト、またはGoogleカレンダーやGoogleKeepなどのサービスにアクセスする必要があります。
これはWebKitの既存の脆弱性であるため、この特定のエンジンを使用するブラウザー(たとえば、BraveやChrome for iOS)も脆弱であることに注意してください。この脆弱性は2021年11月28日にWebKitバグトラッカーに報告されましたが、この脆弱性は未解決のままです。