苹果Safari隐私争议,不只是檯面上的资安议题
编辑时间:2020-08-02 作者:
苹果Safari隐私争议,不只是檯面上的资安议题

苹果公司近期爆出的隐私争议,与其说是资讯安全议题,不如说掺杂了政治性意味的公关危机议题。而这些争议引起的骚动,也可视为使用者对近期苹果不断对中国政府让步的反击。

苹果同时採用 Google、腾讯资料库

近期苹果公司爆出使用者用 Safari 浏览器「诈骗网站警告」功能浏览网站时,会自动传送 IP 位址等隐私资讯,再与 Safari 採用的外部安全浏览程式来交叉比较外部黑名单网站。过去苹果公司通常採用 Google 安全浏览程式,但近期承认也採用腾讯安全浏览的黑名单资料,引起美国用户骚动。

    

据了解,虽然安全浏览程式所建立的黑名单资料对使用者有示警功能,但如果将它用来追蹤使用者,也可以让浏览器自动提交使用者点击过的每个网页,并建立一个与 IP 位址连结的完整网路使用行为日誌。

但根据 The Verge 报导,苹果虽然承认 Safari 浏览器採用 Google 和腾讯的安全浏览程式,但这两家公司都没有从 Safari 获得任何用户的网路使用行为资料。苹果发布声明指出,当启用 Safari 浏览器的「诈骗网站警告」功能后,Safari 只会根据已知网站列表来检查网页的 URL,并在用户将造访恶意网站时跳出警告。Safari 从 Google 获得这些已知恶意网站的列表,而对区域代码设置在中国大陆区域的状况,则改从腾讯接收这些已知恶意网站列表。

苹果声称,使用者可以自行关闭该功能;就算启用,其所造访网站的实际 URL 并不会与 Google 或腾讯共享。

从资安角度看:第三方网站很难取得完整 URL

ZDNet 也报导,不论是 Google 或腾讯,他们安全浏览程式的运作流程都是:先将恶意网站资料库的副本传送到使用者的浏览器,再让浏览器依据资料库来检查使用者将造访网站的 URL,因此流量是从外部传入,并未与 Google 或腾讯接触;此外,只有在无法使用 Google 网域的中国大陆境内,才会开启腾讯的恶意网站黑名单列表。

约翰.霍普金斯大学密码学家 Matthew Green 也详细说明浏览器与外部安全浏览程式相互合作的複杂关係。首先,Google 安全浏览程式会将每个危险网站转成「杂凑值」,再取杂凑值最前面的一些子字串,也就是「前缀」,将前缀发送给 Safari。

接下来,当使用者造访网站时,Safari 也会对把网站的 URL 转成杂凑值,并与 Google 所送来的恶意网站杂凑值前缀清单交互比对。如果前缀值匹配成功,Safari 会进一步请Google 提供该前缀词的完整杂凑值,假使 Safari 再次比对后发现完全一样,这个网站就会被标记为恶意网站并跳出示警。

从这段流程来看,虽然像 Google 安全浏览器这样的第三方业者永远不会看到完整的 URL 杂凑值,但当 Safari 找到可匹配的前缀值,并要求 Google 提供完整杂凑值时,此时 Safari 不只会呈现使用者将造访网站的部分杂凑值,也会显示他们的 IP 位址。

Matthew Green 认为,如果第三方合作厂商是诚信经营,那就可在保护隐私下有效制止使用者造访恶意网站;但倘若厂商有心追蹤用户的网路使用行为,就算只取得小部分资讯,日积月累下也可能入侵使用者的资讯、隐私安全。虽然他没有表明腾讯是否尝试追蹤使用者,但仍呼吁苹果公司应该公开更多细节,避免大众恐慌。

从政治角度来看:近期不断对中让步,引发网友不满

评论认为,这件事情之所以会引爆网友负面骚动,是因为近期苹果公司不断对中国政府让步,早已累积许多欧美网友不满。例如,知名抗争地图 App「HKmap.live」,在香港反送中运动中可帮当地民众避开警察检查驻点,但苹果公司上週却将之从 App Store 上移除;此外,之前香港版跟澳门版的 iPhone 系统更新后,也把台湾国旗从 Emoji 表情符号中拿掉。

    

    

虽然苹果公司对外经常号称自家产品的隐私、安全性远远高于竞争对手,但近期对中国政府让步的种种行径,似乎也成为这间公司的明显弱点。

上一篇: 下一篇: