Googleは、Appleが所有するSafariブラウザのプライバシー設定を回避していたことが判明し、再び米国政府の追及を受けている。SafariブラウザはiPhoneやiPadなどのAppleデバイス上で動作しており、プライバシー設定が回避されたことで、iPhoneの追跡ソフトウェアがAppleユーザーを監視下に置いて脅威にさらすことが可能になった。
プラスワン
Googleは、様々なサイトがブラウザにトラッキングを目的としたCookieを設定することを許可し、その結果Safariのセキュリティが回避される事態に陥りました。しかも、セキュリティ設定が存在していたにもかかわらず、このような事態は発生しました。そもそもセキュリティ侵害が発生するはずのない設定があったにもかかわらずです。この一連の騒動の目的は、Safariを利用しているGoogle+ユーザーが、Google独自のDoubleClickネットワークを利用した広告内に表示される「+1」ボタンにアクセスできるようにすることだと噂されています。これは宣伝効果とトラッキング技術の両面で大きな成果となるはずでしたが、結局はどちらにもなりませんでした。
Safariのセキュリティ
通常であれば、Safariのセキュリティ機能は広告ネットワークから発信されるCookieをブロックするという単純な理由で、機能を停止し、広告がトラッキングCookieを残すのを阻止するはずでした。しかし、Googleのコードは、Googleにウェブフォームを送信したという印象を与えることで、Safariの防御機構を突破しました。この「トリック」によって、ブラウザは処理しているのが実際にはフォームCookie(Safariではブロックされていません)であると勘違いし、セキュリティが破られました。
一般的な慣行
この種のエクスプロイトは、全く新しいものではありません。スタンフォード大学の研究者、ジョナサン・メイヤー氏によると、2010年に初めて発見されたとのことです。とはいえ、Googleのような大企業が犯人リストに名を連ねていることは、全く別の話です。これは、その信頼性に関する議論を複雑にしているだけでなく、あらゆるセキュリティシステムに甚大な被害をもたらす可能性のあるiPhone追跡ソフトウェアやその他のハッキングアプリの脅威を浮き彫りにしています。
Googleのダブルクリック
「プライバシー回避」コードを含むDoubleClick広告は、Match.com、AOL.com、YellowPages.com、TMZ.comなど、ウェブ全体で発見されました。実際、CNETによると、GoogleのSafariを侵害する二重の攻撃コードは、上位100ウェブサイトのうち22ウェブサイトで発見されました。さらに悪いことに、同ウェブサイトは、23のウェブサイトがSafariのiOSブラウザに全く同じコードをインストールしたと報告しており、事態は悪化しています。
両手をクッキージャーに入れる
クッキージャーに両手を突っ込んだ現場を目撃されたGoogleは、クッキーの脅威を軽視する姿勢を貫いてきた。同社はクッキーは個人情報を収集しないと主張したが、Appleはこれを断固として否定した。そしてもちろん、最大のライバルであるMicrosoftを揶揄する機会を決して逃すまいと、Googleのこの追跡行為は「目新しいものではない」と主張した。
Googleは、この章が終わるまでに多くの説明と、場合によっては罰金の支払いを迫られています。iPhoneやiPadのSafariユーザーは、追跡ソフトウェアに警戒する必要があります…
著者略歴
ジェーン・アンドリューは、iPhoneスパイと携帯電話監視技術の著者です。携帯電話を追跡する方法に関するヒントやコツを提供しています。また、Twitter(@janeandrew01)で彼女をフォローして、コンピュータセキュリティに関する最新のヒントを入手することもできます。
