ハードの権限設定、ブラウザ環境でバラバラ - 誤認や追跡などのリスク

主要ブラウザでは、ウェブサイトが端末に搭載されているハードウェアを利用する際、利用者の許可を求める機能が実装されているが、挙動が環境ごとにバラバラで、利用者の混乱を招き、プライバシーリスクにつながるおそれがあることがわかった。

早稲田大学とNTT社会情報研究所の研究チームが調査を行い、「NDSSシンポジウム2023」にて論文を発表したもの。執筆者とJPCERTコーディネーションセンターでは、発表内容の要点を取りまとめ、脆弱性情報のポータルサイトであるJVNにて注意喚起を行っている。

同調査では、5種類のOSで稼働する22種類のブラウザを対象に、ウェブサイトが「カメラ」や「マイク」「GPS」などハードウェアへアクセスする権限を要求したり、設定した後の挙動について分析を行った。

一部ブラウザでは、利用者による権限設定を正しく反映しないケースがあった。また権限の要求を無視されると自動的に「拒否」と設定するケースも見られる。

また通常のブラウジングモードとプライベートモードで共有される条件についても、ブラウザやOSの組み合わせにより差異が生じていた。

権限が永続化される条件についても統一されていない。条件がブラウザやOSの組み合わせにより異なり、プライベートモードでも永続化されるケースがあった。Cookieや閲覧履歴を削除しても権限の設定が適切に削除されないケースも確認されている。

（Security NEXT - 2023/02/27 ）ツイート