ハードの権限設定、ブラウザ環境でバラバラ - 誤認や追跡などのリスク

さらにバックグラウンドのタブより権限が要求された際の挙動では、ダイアログを表示しなかったり、無関係である表示中のウェブページが発した要求のように表示されるケースもあった。

これら問題点が複雑に組み合わさっており、利用環境における挙動の違いが、利用者を混乱させ、誤った判断を招くおそれがあると指摘。ユーザーの意図と反した設定が保持されたり、挙動を悪用したフィッシング攻撃「Permission-based Phishing Attack」なども懸念される。

また同論文では、権限の状態を用いて利用者を識別し、行動の追跡に悪用する「Permission-based User Tracking Attack」の可能性についても言及。権限の要求を無視されると自動的に「拒否」するしくみなども同攻撃に悪用されるおそれがある。

同論文ではブラウザの開発者に対し、通常の閲覧モードとプライベートモードで権限状態を共有せず、プライベートモード終了時に、設定された権限状態を明示的に消去することなどを提言。バックグラウンドタブのダイアログ表示などにも誤解を招かないよう配慮を求めた。

また権限状態の可視化、権限設定を定期的に消去するオプションの用意、権限の自動拒否をしないこと、「iframe」ページにおける権限要求への制限などをブラウザの標準化団体が推進していくことを提案している。

利用者側の対策としては、権限要求のダイアログを注意深く確認することや、プライベートモードではなく、ゲストモードを活用することなども挙げている。

（Security NEXT - 2023/02/27 ）ツイート