Apple の iOS 6 プラットフォームの Safari ブラウザには、セキュリティとプライバシーに重大な影響を及ぼす可能性のある、潜在的に深刻な JavaScript バグがあります。
iOS 6の新機能「スマートAppバナー」は、開発者がSafari内でApp Storeのソフトウェアを宣伝できるように設計されています。スマートAppバナーは、ユーザーが特定のアプリケーションをインストールしているかどうかを検出し、App Storeでそのソフトウェアを閲覧したり、iOSデバイスで開いたりするよう促します。
ただし、Safari Web ブラウザで JavaScript をオフにすることを選択したユーザーの場合、Web サイトにスマート アプリ バナーが表示されると、ユーザーに通知されることなく JavaScript が自動的に永続的にオンに戻ります。
iOSデバイスをお持ちの方は、AppleInsiderの読者James氏が最初に発見したこの問題をテストできます。設定アプリを開き、「Safari」を選択し、JavaScriptをオフにしてください。その後、Safariブラウザを起動し、スマートアプリバナーのあるウェブサイト([removed-link]/smart-banner.htmlに用意したテストページなど)にアクセスしてください(これにより、問題を確認するためにJavaScriptがオンになります)。
その後、ユーザーは設定アプリに戻り、JavaScript設定スイッチが警告なしに「オン」に戻っているかどうかを確認できます。これにより、ウェブサイト上のJavaScript機能が再び動作するようになります。
この問題は6ヶ月前のiOSリリース以来存在していたと報じられていますが、広く報道されていません。FizzPow Gamesの創設者であるマイケル・ストックウェル氏は、AppleInsiderに対し、この問題はiPhone、iPad、iPod touchなど、すべてのデバイス上のiOS 6の全ビルドに当てはまることを確認しました。さらに、iOS 6.1の最新ベータ版に詳しい関係者によると、この問題はiPhoneのリリース前テストソフトウェアにも残っているとのことです。
潜在的に「深刻な」問題でしょうか?
デジタル権利擁護団体「電子フロンティア財団」の技術製品ディレクター、ピーター・エッカーズリー氏は、このような問題を「深刻なプライバシーとセキュリティの脆弱性」と位置づけると述べた。
エッカーズリー氏もEFFもiOS 6のバグについて聞いたことはなく、問題を再現できることを確認するための独自のテストも行っていませんでした。しかしエッカーズリー氏は、もしこの問題が実際に存在するのであれば、Appleは可能な限り迅速に対処すべきだと述べました。
「これはセキュリティの問題であり、プライバシーの問題であり、そして信頼の問題でもあります」とエッカーズリー氏は述べた。「UIが指示通りに動作すると信頼できますか?これは間違いなく緊急に修正が必要なバグです。」
しかし、セキュリティ企業インテゴのウイルスハンター、リサ・マイヤーズ氏は、このバグはiOSデバイスの所有者の大多数にとって大きな懸念事項ではないと述べた。
「この問題は確かに理想的な状況ではありませんが、それ自体はそれほど大きな問題ではありません」とマイヤーズ氏はAppleInsiderに語った。「現時点では脅威にはなりませんが、悪用されやすくならないように引き続き監視していきます。また、JavaScriptはほとんどのウェブサイトを部分的または完全に無効化できるため、実際にJavaScriptを完全に無効化している人はほとんどいないのも事実です。」
エッカーズリー氏は、ほとんどのユーザーはブラウザの設定を開いてJavaScriptを無効にする必要性を感じないだろうと認めた。しかし、セキュリティを最優先事項と考える人にとって、ブラウザでJavaScriptを無効にすることは、通常、最初に行うべき対策の一つである。
「これは必ずしも直接的かつ即時にセキュリティ上の脆弱性となるわけではないが、他の脆弱性を悪用される可能性がある類のものだ」と同氏は述べた。
JavaScript を無効にする理由は何ですか?
JavaScriptは開発者がリッチなWebエクスペリエンスを実現できるようにし、多くのウェブサイトで必須となっていますが、ユーザーのWebブラウザの「デジタル指紋」を追跡・提供するためにも使用できます。JavaScriptを使用することで、ウェブサイトはユーザーがページに費やした時間、ページのどの部分を閲覧したか、ページ上の入力フィールドに入力した文字、どのリンクをクリックして離脱したかといった情報を追跡できる可能性があります。
EFFのPanopticlickプロジェクトは、ユーザーのブラウザがどれほど個人化され、追跡可能であるかを示しています。EFFは、ブラウザフィンガープリンティングを防ぐために、JavaScriptを無効にすることを推奨しています。
JavaScriptのおかげで、それぞれのブラウザは「美しく、唯一無二の雪片」なのです、とエッカーズリー氏は言います。私たち一人ひとりの閲覧履歴は、広告主やその他の人々に、潜在的に個人的で価値のある情報を伝える可能性があります。
「実際にこれを減らす唯一の方法は、JavaScriptを無効にすることだ」とエッカーズリー氏は語った。
モバイルブラウザの柔軟性の低さを強調
エッカーズリー氏にとって、iOS 6のJavaScriptに関する問題は、現在のモバイルブラウザがデスクトップブラウザに比べてひどく性能不足であるという自身の見解をさらに強固にするだけだ。彼は、OS XやWindowsなどのプラットフォームではより高機能なブラウザが普及しており、ユーザーは必要に応じてカスタムプラグインやアドオンをインストールすることで、機能を拡張したりセキュリティを強化したりできると指摘した。
例えば、プライバシーを重視するユーザーの間で人気のある選択肢は「NoScript」です。これは、Firefoxユーザー向けにJavaScript、Java、Flashをブロックするオープンソースプラグインです。Appleのモバイル版Safariはサードパーティ製プラグインをサポートしていないため、iOSではこのような拡張機能は利用できません。
エッカーズリー氏は、現代のスマートフォン プラットフォームの設計理念は、すべてを可能な限りシンプルにすることであり、同氏が「プライバシーに敵対する」戦略であると感じている。
「現時点では、モバイルウェブをプライベートに閲覧することについては、『やめておこう』というのが私たちのアドバイスです」と彼は述べた。「閲覧中にプライバシーを確保したい場合は、デスクトップブラウザを使用してください。」
