セキュリティ

iOS 13.3でAppleのトラッキング防止機能「Intelligent Tracking Prevention」がアップデート、その内容とは?

by Tim Bennett

Appleは現地時間2019年12月10日(火)に「iOS 13.3」と「iPadOS 13.3」を公開しました。このアップデートで子どもの通話やFaceTime、メッセージの相手を制限できるようになるといった新機能が公開されたほか、セキュリティ関連のアップデートも行われています。そして、Appleが2017年からSafariに導入しているIntelligent Tracking Prevention(ITP)も強化されたとのことで、ITPがいかに強化されたのかをAppleのWebKitエンジニアであるJohn Wilanderさんが解説しています。

Preventing Tracking Prevention Tracking | WebKit
https://webkit.org/blog/9661/preventing-tracking-prevention-tracking/


OriginやURLリスクによってコンテンツの扱いを変えるコンテンツブロックやトラッキング防止は、そのOriginやURLのセット自体がブラウザに一意性を与え、その一意性を検知するという方法で悪用される可能性があります。このようなトラッキング防止の悪用を防ぐためには、「どのウェブコンテンツやウェブサイトのデータがブラウザをトラッキング可能か」ということ自体を検知不能にする必要があるとのこと。このため、Appleはブラウザごとに異なるウェブサイトの扱い方の違いを検知不可能にし、トラッキング防止全体を改善するための工夫をITPに施しているとWilanderさんは語ります。

◆工夫1:リファラのダウングレード
ITPは全てのクロスサイトリクエストのリファラをOriginのみにダウングレードしました。これまで、この方法は分類されたドメインに対するクロスサイトリクエストにのみ取られていました。この変更により、以前までは「https://images.example」へのリクエストのリファラヘッダーには「https://store.example/baby/strollers/deluxe-stroller-navy-blue.html」が含まれていましたが、今後は「https://store.example/」のみが記されるようになります。

◆工夫2:事前のユーザインタラクションがないウェブサイトのサードパーティーCookieは全てブロックされる
ITPは、サードパーティーのドメインステータスに関係なく、サードパーティーのウェブサイトがユーザーによる操作を受けていない限り、全てのサードパーティーのリクエストがユーザーのCookieを見ることをブロックします。

◆工夫3: Storage Access APIはCookieポリシーを考慮するように
SafariのオリジナルのCookieポリシーは、既にファーストパーティーとして設定されたCookieを除き、サードパーティーがCookieを設定することを制限します。これはITPの導入後も機能しています。

ITPによって引き起こされる問題を回避するため、プライバシーを保ったままファーストパーティーのサービスの認証を埋め込みクロスサイトコンテンツで行えるようにする「Storage Access API」が存在します。Appleは新たに、「document.hasStorageAccess()」が呼び出される時はStorage Access APIがSafariのCookieポリシーが考慮されるることを明言しました。これにより、以下2つの理由により「document.hasStorageAccess()」がfalseとなる可能性があるとのこと。

1:ITPがCookieをブロックし、詳細なストレージアクセスが許可されていないとき
2:ドメインがCookieを有しておらず、ゆえにCookieポリシーがCookieをブロックしているとき

by edar

「サードパーティーからCookieが送られていないということでITPのステータスが外部の攻撃者に漏れてしまうのでは」という懸念点についてもWilanderさんは言及しています。Wilanderさんによると、Cookieが送信されていない原因は、「ITPがCookieをブロックしたから」「一度も訪れたことがないサイトということでCookieポリシーがブロックしたから」「ウェブサイトのCookieが失効していたから」「ユーザーやITPがウェブサイトのCookieを故意に消したから」など複数考えられるため、サードパーティーからのCookieリクエストが送られていないことをもって、ITPのステータスを確認できないようになっているとのことです。

この記事のタイトルとURLをコピーする

・関連記事
AppleのSafariに実装されるセキュリティ機能「Intelligent Tracking Prevention 2.0」とは何なのか? - GIGAZINE

ユーザーのCookieを利用してクロスサイトトラッキングされるのを防ぐ機能「Intelligent Tracking Prevention」がSafariに導入される - GIGAZINE

なぜ広告会社はChromeに好意的である一方で、Safariには否定的なのか? - GIGAZINE

Googleの「Cookieをターゲティング広告に使わないとサイトの収益が半減する」という理論は正しいのか? - GIGAZINE

Safariに搭載されるプライバシー機能「ITP」で広告会社は何百万ドルもの収入を失う - GIGAZINE

Appleの反トラッキング機能が広告の世界を揺さぶっている - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.