デスクトップやモバイル端末向けのウェブブラウザは定期的にセキュリティ更新を受ける傾向がありますが、ゲーム機、テレビ、電子書籍リーダー、車、その他の機器に内蔵されているものでは、そうでないことが少なくありません。こうした古い組み込みブラウザは、フィッシングやその他のセキュリティ脆弱性にさらされる原因になり得ます。
ベルギーのKU Leuven(ルーヴェン・カトリック大学)にあるDistriNet Research Unitに所属する研究者らは、新発売の機器であっても、数年も前のブラウザが搭載され、既知のセキュリティバグを含んでいる場合があることを見いだしました。
8月に開催されたUSENIX Symposium on Usable Privacy and Security(SOUPS)2025で発表された研究論文 [PDF] で、計算機科学者のGertjan Franken、Pieter Claeys、Tom Van Goethem、Lieven Desmetは、クローズドソースのソフトウェアやファームウェアを搭載した製品を評価するという課題を克服するため、ブラウザ評価フレームワークをクラウドソースで構築し、CheckEngineと名付けた経緯を説明しています。
このフレームワークは、協力に同意した参加者に固有のURLを提供し、それを評価対象デバイスの統合ブラウザに入力してもらうことで機能します。2024年2月から2025年2月までのテスト期間中、研究者らは53のユニーク製品と68のユニークなソフトウェアバージョンを代表する76件の入力を受け取りました。
調査に提出された35台のスマートTVのうち24台と、5台すべての電子書籍リーダーでは、組み込みブラウザがデスクトップPCユーザー向けに提供されている現行版より少なくとも3年遅れていました。そして、この状況は新発売の製品であっても同様です。
著者らは論文で「本研究は、統合ブラウザがスタンドアロンの同等品よりもはるかに更新頻度が低いことを示している」と述べています。「憂慮すべきことに、多くの製品は発売時点ですでに古いブラウザを内蔵しており、実際、サンプル中の8製品は、市場投入時点で3年以上も陳腐化したブラウザを含んでいた」
KU Leuvenによると、この研究により、一部のデバイスメーカーは無料アップデートを宣伝しているにもかかわらず、ブラウザのセキュリティ更新を提供していないことが明らかになりました。
研究者らは、古いブラウザを搭載したデバイスの悪用可能性を評価した複数のケーススタディを挙げています。たとえば2024年1月に発売されたBoox Note Air 3のEインクタブレットは、2020年8月にリリースされたChromium 85をベースとするNeoBrowserを搭載して出荷されています。
研究者らは「注目すべきことに、4回のソフトウェア更新を経ても、統合ブラウザは未修正のままだった」と述べ、同社にはセキュリティ報告窓口がなく、サポート担当者が問題解決状況を誤って伝えていたと付け加えました。その結果、著者らはこの件をEUの規制当局に報告しました。
2024年12月、EUサイバー・レジリエンス法が施行され、2027年12月までの移行期間が開始されました。この時点でベンダーは製品のセキュリティに全面的な責任を負う義務を負うことになります。KU Leuvenの研究者らは、テストしたデバイスの多くがまだ準拠していないと述べています。
著者らは、組み込みブラウザを含むゲームアプリケーション(Steam、Ubisoft Connect、AMD Adrenalin)についても調査しました。
CheckEngineフレームワークを通じて提出されたSteamの結果には、2023年1月のChromium 109をベースとするブラウザが2つ、2024年6月のChromium 126を使用するものが1つ含まれていました。研究者らは、テストした既知の脆弱性3件はいずれも再現できなかった一方で、古いバージョンではアラートボックスのオリジンを偽装できることを見つけたと述べました。
研究者らは「ここでは、Steamドメインで以前に発見されたオープンリダイレクトを悪用することで、攻撃者は正当なドメインから発生したかのように見えるアラートボックスを表示させるURLを作成でき、フィッシング攻撃に有用だ」と述べています。
Chromium 109をベースとするUbisoft Connectの組み込みブラウザも、新しいタブやウィンドウを開けないという制限のため既知の脆弱性では攻略できませんでしたが、著者らはブラウザが–no-sandboxフラグ付きで設定されていることを見つけ、権限昇格攻撃のリスクを高めると指摘しました。
AMD Adrenalinについては、KU Leuvenの研究者らが、2023年4月のChromium 112ベースのブラウザでアドレスバー偽装の脆弱性を再現しました。AMDはこの問題を認め、研究者らが当初の調査結果を提示した時点で修正に取り組んでいたといいます。
著者らは、ブラウザを他のコンポーネントと一緒に同梱するElectronのような開発フレームワークにも一因があるとしています。
論文では「一部の製品では、ユーザー向けの組み込みブラウザが他のUIコンポーネントと統合されていることに起因していると疑っている。特にElectronのようなフレームワークに同梱されている場合、ブラウザを更新するにはフレームワーク全体を更新する必要があり、更新が困難になる」と述べています。「これは依存関係を壊し、開発コストを増大させ得る」
しかし別のケースでは、ベンダー側の不注意、あるいは不可欠なセキュリティ対策を実装しないという選択に起因すると示唆しています。
また、製品ラベルのような仕組みが、組み込みブラウザの更新に消費者とベンダーの注意を向けさせる可能性はあるとしつつも、広範な自発的遵守は見込みにくく、規制によってベンダーに対し、製品に組み込むブラウザのセキュリティに責任を負わせるべきだと結論づけています。®
