2019年10月22日星期二

苹果否认向腾讯泄露隐私,但怀疑者们仍有疑问

IOS Safari 发送资料给腾讯

近日,彭博社报道称,正在将 用户数据发送给中国公司。作为一家以维护用户作为产品卖点的企业来说,这似乎是一则骇人的丑闻。15 日凌晨,公司向媒体做出了回复,表示这种说法并不属实。

包括彭博社在内的数家媒体指出,大约两年来,苹果一直将数据发送给腾讯,是因为 iPhone 和 iPad 有一项安全,会在用户加载之前警告用户网站是恶意的或是不安全的。苹果判断网站是否安全的标准是根据已知存在问题的站点列表检查地址,而该列表由腾讯和 Google 提供,前者由大陆用户组成,后者由世界其他地区用户组成。

iOS 13 中的一条注释提到,其 浏览器会使用腾讯的安全浏览系统来帮助对抗恶意网页,但腾讯可能会在此过程中记录 IP 地址。实际上从 2017 年的 iOS 11 开始,腾讯就已经开始为苹果提供安全浏览功能,而 Google 更早,从 2008 年开始。苹果只是在最近更新了 iOS 版本中对该功能的描述。

15 日凌晨,苹果在一则回复中写道:

苹果通过“Safari 欺诈性网站警告”保护用户隐私和数据,这是一种可标记已知恶意网站的安全功能。启用此功能后,Safari 会对照已知网站列表检查网站的 URL,并在用户访问的 URL 被怀疑存在网络钓鱼等欺诈行为时显示警告。

为了完成这项任务,Safari 会收到来自 Google 的已知恶意网站列表,对于区域代码设置为中国大陆的设备,则会收到来自腾讯的列表。您访问的网站的实际 URL 永远不会与安全浏览提供商共享,您也可以关闭该功能。

苹果为美国科技媒体 ZDNet 提供了一份更详细的说明。说明中写道:Google 和腾讯“将数据库的副本发送到用户的浏览器,并让浏览器根据本地数据库检查 URL,因此用户的具体数据实际上从未到达那两家公司。而且,“腾讯的黑名单仅在无法使用 Google 域名的中国大陆内部使用”。

但是,约翰霍普金斯大学的密码学家 Matthew Green 提出了新的问题。他指出,实际上 Google 会依赖黑名单和 Safari 之间“复杂的相互作用”。

Matthew Green 描述的整个标记流程如下:Google 将每个不安全的 URL 哈希化为不明确标识的代码,然后将这些哈希值的第一部分发送给 Safari,称为“前缀”。当用户访问网页时,Safari 会对其 URL 哈希化并检查前缀清单。如果匹配,Safari 会询问 Google 包含该前缀的所有哈希值。接下来,Google 提供这些内容,Safari 浏览器再检查较小的列表是否完全匹配。如果找到该页面,则标记该页面。

Matthew Green 分析称,这意味着 Google 永远不会看到完整的 URL 哈希值,在大多数情况下,它根本不会获得任何信息。但是,当 Safari 找到匹配的前缀并要求 Google 提供更多的哈希值时,它就会显示用户的 IP 地址以及他们所访问页面的部分哈希值。如此积少成多仍然有侵蚀用户隐私的嫌疑。

那么,Safari和腾讯的交互又是什么样的呢?会象苹果声称的那样简单吗?



via 苹果否认向腾讯泄露隐私,但怀疑者们仍有疑问

没有评论:

发表评论