ハードの権限設定、ブラウザ環境でバラバラ - 誤認や追跡などのリスク
主要ブラウザでは、ウェブサイトが端末に搭載されているハードウェアを利用する際、利用者の許可を求める機能が実装されているが、挙動が環境ごとにバラバラで、利用者の混乱を招き、プライバシーリスクにつながるおそれがあることがわかった。
早稲田大学とNTT社会情報研究所の研究チームが調査を行い、「NDSSシンポジウム2023」にて論文を発表したもの。執筆者とJPCERTコーディネーションセンターでは、発表内容の要点を取りまとめ、脆弱性情報のポータルサイトであるJVNにて注意喚起を行っている。
同調査では、5種類のOSで稼働する22種類のブラウザを対象に、ウェブサイトが「カメラ」や「マイク」「GPS」などハードウェアへアクセスする権限を要求したり、設定した後の挙動について分析を行った。
一部ブラウザでは、利用者による権限設定を正しく反映しないケースがあった。また権限の要求を無視されると自動的に「拒否」と設定するケースも見られる。
また通常のブラウジングモードとプライベートモードで共有される条件についても、ブラウザやOSの組み合わせにより差異が生じていた。
権限が永続化される条件についても統一されていない。条件がブラウザやOSの組み合わせにより異なり、プライベートモードでも永続化されるケースがあった。Cookieや閲覧履歴を削除しても権限の設定が適切に削除されないケースも確認されている。
(Security NEXT - 2023/02/27 )
ツイート
関連リンク
PR
関連記事
GitLab、クリティカルパッチを公開 - 脆弱性17件に対応
専門学校生対象のセキュリティコンテスト - 課題は「ASMツール」
ビデオ会議の「Zoom」、9月の定例アドバイザリは1件のみ
ビデオ会議の「Zoom」にアドバイザリ - 誤公開の可能性も
「Cisco IOS XR」など複数Cisco製品に脆弱性
Ivanti、3製品に関するセキュリティアドバイザリを公開
更新3件を含むセキュリティアドバイザリ19件を公開 - SAP
Palo Alto、アドバイザリ7件を公開 - 「PAN-OS」などの脆弱性に対処
SAP、8月のセキュリティパッチを公開 - 深刻な脆弱性も
申込者の個人情報を事務局が誤アップロード - 福岡国際マラソン