Brave browser to block “open in app” prompts, pool-party attacks
2023/02/24 BleepingComputer — プライバシー保護に特化したブラウザ Brave の次期メジャー・バージョンでは、”open in app” のような煩わしいプロンプトがブロックされ、pool-party 攻撃に対する保護の強化が始まる予定だという。この、邪魔な “open in app” ポップアップは、ブラウザのプライバシー保護機能が適用されない空間へと、訪問者を連れて行くことを目的としており、広範なユーザー・データが、アプリの作成者により自由に収集される可能性を生じる。
Brave は、「Windows/Android 向けのバージョン 1.49 から、この迷惑行為をブロックするようになり (すでに iOS では v1.44 から利用可能)、ユーザーは予期せぬ中断なしに Web を閲覧できる」と述べている。
Brave は、「当社で働く人々により維持されている “Fanboy’s Mobile Notifications List” を有効化することで、”open in app” という迷惑行為を排除できる」と通知している。設定メニューの Custom and Regional フィルターの下にある “Fanboy’s Mobile Notifications List” により、この機能を無効化できる。
(BleepingComputer)
Brave バージョン 1.49 では、ブラウザ機能の特性を悪用して、ユーザーを持続的に追跡することを目的とした、pool-party 攻撃に対する保護機能も追加される。
この pool-party 攻撃とは、Web サイトをまたいだターゲットの閲覧行動を、攻撃者が追跡するというものだ。この攻撃は、限られた共有リソースを、つまり pool を必要とするものであり、追跡を可能にするサイドチャネルを作成し、ブラウザのプライバシー保護を回避していく。
この攻撃方法は、強力かつ広範に及ぶものである。残念なことに、Brave を含むすべての最新 Web ブラウザに対して、この攻撃は影響を及ぼし得るものとなる。
Brave のバージョン 1.35 で、これらの攻撃に対する防御が更新されたが、いくつかの Web サイトでは、これまでの保護を回避する別の方法が採用されていることを、同社のエンジニアたちが発見した。
バージョン 1.49 で予定されている別の機能は、広告をブロックする際にページ要素を隠すために利用できる、Cosmetic フィルターのサポートである。現時点でも Brave は、最も一般的な2つの Cosmetic フィルターをサポートしているが、今後のリリースでさらに追加される予定だ。
Brave for Android バージョン 1.50 では、デバイスの画面サイズを悪用した、Web サイトによるユーザー追跡を防ぐために、画面属性ベースのフィンガープリント保護機能を多用する予定だという。
Brave は、画面サイズとブラウザの位置に、トラッカーがアクセスすることを防ぎ、ブラウザ・セッションごとに異なるランダム値を各 Web サイトに報告することで、持続的な追跡を不可能にするようになる。
広告そのものに、悪意があるとは言えませんし、商品経済を回す上で重要なものだと思います。しかし、広告には悪意が紛れ込みやすいという指摘には、誰もが同意するでしょう。それは、紙/TV/インターネットの、どれであっても同じですが、特にインターネットには厄介は側面があります。そこで Brave は、Google などを筆頭とする、インターネットに立ち向かっているのだと思います。そのベースになるのが、Chromium だというのも、とても興味深い現象です。よろしければ、以下の記事も、ご参照ください。
2023/01/14:Snowflake:Tor への検閲回避フリーウェイ
2022/12/22:FrodoPIR:プライバシーに配慮した DB クエリ
2022/09/29:Cookie 同意バナーの排除:広告業界との戦い
IoT OT Security News 
You must be logged in to post a comment.