- 研究者たちはFirefoxとTor Browserの欠陥を発見しました。これにより、ウェブサイトはクッキーなしで隠された安定した識別子を生成できました。
- この問題はIndexedDBの動作に由来し、プライベートブラウジング中またはTorの「新しいアイデンティティ」モードでも永続的なフィンガープリントを可能にしました。
- MozillaとTorは迅速に脆弱性にパッチを当てました。修正はFirefox 150とTor Browser 15.0.10に含まれています。
Mozilla FirefoxやTor Browserのようなブラウザには脆弱性が含まれていました。ウェブサイトはクッキーや他の明らかな追跡方法を使用せずにブラウザセッションから隠されたIDを作成できました。
この脆弱性はFingerprintのセキュリティ研究者Dai NguyenとMartin Bajanikによって発見されました。今週初めに公開された詳細なレポートで、二人は、ユーザーが「より強い隔離」を期待している場合でも、この問題により、ウェブサイトはIndexedDBが返すエントリの順序から「ユニークで決定的で安定したプロセス生存期間識別子」を導き出すことができると述べました。
IndexedDBはブラウザに組み込まれたデータベースで、ウェブサイトが大量の構造化データ(ファイルやアプリデータなど)をデバイスに直接保存できます。これにより、ウェブアプリはサーバと絶えず通信することなく、より速く、オフラインでも動作できます。ただし、サイトがブラウザに保存されたアイテムのリストを要求すると、そのリストの順序はランダムではありませんでした。代わりに、ブラウザの内部動作を反映しており、これはユニークなフィンガープリントに変わる可能性がありました。
記事の続きは下へ
プライベートブラウジング
これはプライバシー指向のユーザーにとって悪いように聞こえますが、プライベートブラウジングモードを使用している場合でも脆弱性が残っていたため、さらに悪くなります。
「Firefox プライベートブラウジングモードでは、Firefox プロセスが実行されている限り、すべてのプライベートウィンドウが閉じられた後も識別子が続く可能性があります」と研究者たちは説明しました。「Tor Browserでは、安定した識別子は「新しいアイデンティティ」機能を通じても続きます。この機能は、クッキーとブラウザ履歴をクリアし、新しいTorサーキットを使用する完全なリセットとなるように設計されています。」
Fingerprintは問題をMozillaとTor Projectに責任を持って報告し、パッチがすぐにリリースされました。Mozillaはパッチを追跡しながらFirefox 150とESR 140.10.0で対処しました(Mozilla Bug 2024220)。TorはMozillaの修正を引き出すことで間接的に修正しました。利用可能なレポートによると、Tor Browserバージョン15.0.10はMozilla Firefoxの問題を解決した同じセキュリティアップデートが含まれています。
