Googleの新しい技術レビューは、現代的なトラッキングはもはやクッキーだけに依存しなくなっていることを示しています。ウェブサイトはブラウザフィンガープリンティング、ストレージのトリック、HTTPヘッダーリークを組み合わせることで、驚くほどの精度でユーザーを識別できるからです。
Chromeはいくつかの明白なシグナルを削減していますが、canvas レンダリング、WebGL、オーディオ処理、Client Hints、ファーストパーティストレージなど、多くの価値の高いサーフェスは依然としてトラッカーや検出ツールを構築する研究者に利用可能なままです。
ブラウザフィンガープリンティングは、ユーザーのブラウザとデバイスから小さな技術的詳細を収集し、それらをクッキーがクリアされてもなお持続できるプロフィールに組み合わせることで機能します。
2025年の学術研究は、canvas フィンガープリンティングが測定した上位20,000のウェブサイトの12.7%に見られたことを発見しました。これらの方法は周辺的な実験ではなく、アクティブなウェブプラクティスであることを示しています。
Chromeのプライバシーギャップ
Chromeは従来のUser-Agentストリングの一部をフリーズし、より多くの詳細をUser-Agent Client Hintsにシフトすることで、いくつかのパッシブ識別子を削減しようとしていますが、ブラウザはサイトが navigator.userAgentData.getHighEntropyValues() を通じてより高いエントロピーのデータをリクエストすることを依然として許可しています。
つまり、ウェブサイトはアーキテクチャ、ビット数、プラットフォームバージョン、完全なバージョン情報などの詳細を依然として取得できます。これらはすべてグラフィックス、言語、デバイスの特性と組み合わされるとフィンガープリントを強化できます。
最も一般的なシグナルはレンダリングとハードウェアAPIから来ます。特にcanvas、WebGL、オーディオは、各システムが画像の描画と音声の処理をわずかに異なる方法で実行するためです。
これらの違いはユーザーにとっては些細に見えるかもしれませんが、規模が大きくなると、トラッカーが1台のマシンを別のマシンから区別するのに役立ちます。プライバシーに焦点を当てたブラウザは、ノイズを追加したり、露出を削減したりすることで、これらのベクトルに対する防御を市場化しています。
プライバシーリスクはJavaScript APIに限定されません。HTTPヘッダーも機密状態をリークしたり、訪問間でのトラッキングを有効にしたりする可能性があるからです。
最近の例はCVE-2025-4664です。これは Link ヘッダーハンドリングに関連したChrome脆弱性で、攻撃者が許容的なリファラーポリシーを強制し、クロスオリジンリクエストで完全なクエリ文字列をキャプチャできるようにしました。これはGoogleがChrome 136でパッチを適用する前の実際の攻撃で機密トークンを露出させる可能性がありました。
クッキーのロールバックが状況を変えた
Chromeでサードパーティクッキーを段階的に廃止するというGoogleの長期計画は、2024年7月に事実上放棄されました。より広いPrivacy Sandboxの取り組みも、採用が低く、エコシステムからの反発があったため、2025年に廃止されました。
この逆転が重要なのは、古いトラッキング方法が関連性を保ち続けながら、新しいブラウザ側フィンガープリンティングおよびヘッダーベースの技術がそれらと並行して成長し続けることを意味するからです。
防御者にとって、実践的な教訓は、ブラウザプライバシー分析がスクリプトレベルの監視とネットワーク観察の両方を必要とするということです。
強力な権限を持つChrome拡張機能はJavaScriptの検査を助けることができます。APIの使用、疑わしいリクエスト、ストレージの動作を検査できますが、パッシブなネットワークレイヤーの特性と複雑なヘッダーのやり取りは、ブラウザの内部からだけでは完全に観察することが難しい盲点を依然として作成します。
プライバシーを気にするユーザーは、プライベートブラウジングモードまたはクッキークリアで十分だと仮定してはいけません。フィンガープリンティングはしばしば両方を生き延びるからです。
より安全なアプローチは層状です。Chromeを最新に保つ、拡張機能を制限する、不要な権限を削減する、そしてクッキーをブロックするだけでなく、フィンガープリンティングに対して特に防御するブラウザまたはプライバシーツールを検討することです。
翻訳元: https://gbhackers.com/chrome-privacy-vulnerability/
