关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


苹果被曝向腾讯传输用户隐私,是暗通款曲还是无中生有?

2019-10-18 17:25 推荐: 浏览: 66字号:

摘要: 升级到iOS 13后,苹果带来了许多显而易见的新特性,与此同时也包含了许多隐性变化,比如说Safari隐私条款的变化。这个细节藏得很深,如果你以为用户不会深挖,永远也不会有人知道,那就错了——真相永远不会缺席,它只会迟到。 用户的眼睛是雪亮的 近日,有用户在苹...

升级到iOS 13后,苹果带来了许多显而易见的新特性,与此同时也包含了许多隐性变化,比如说Safari隐私条款的变化。这个细节藏得很深,如果你以为用户不会深挖,永远也不会有人知道,那就错了——真相永远不会缺席,它只会迟到。

用户的眼睛是雪亮的

近日,有用户在苹果的Safari隐私条款中发现了一条特别的内容,叫做 Fraudulent Website Warning (欺骗性网站警告)。

原文是这样的:“Before visiting a website, Safari may send information calculated from the website address to Google Safe Browsing and Tencent Safe Browsing to check if the website is fraudulent. These safe browsing providers may also log your IP address.”

(访问网站之前,Safari浏览器可能会将从该网站地址计算得出信息发送给“Google安全浏览”和“腾讯安全浏览”,以检查网站是否为欺诈性网站。这些安全浏览提供商也可能会记录您的IP地址。)

英文版

中文版

其中,“腾讯安全浏览”是新增内容,之前主要是“Google安全浏览”。也就是说,如果开启了Safari浏览器的“欺骗性网站警告”功能,当用户访问一个网址时,访问记录会先发送给谷歌和腾讯进行安全网站检测,确认安全后才会访问,而谷歌和腾讯可能会记录访问者的IP等浏览数据。

该功能在Safari设置中是默认开启的,这引发了一些用户的担忧:

腾讯爸爸都知道我都在看什么了,那还行?

不少外媒表示,现在很多人都能接受与 Google 共享自己的浏览记录,但腾讯令他们感到不放心,人们想知道腾讯会如何处理这些数据?以及腾讯是否会收集中国以外的用户信息?

用户可手动关闭

对个人隐私感到担忧的用户可选择手动关闭:

  • iOS:设置>Safari>关闭欺骗性网站警告

  • macOS:Safari>首选项>安全>取消选中欺骗性网站警告

不过,关闭该功能的缺点是你可能会在没有警告的情况下访问恶意网站。因此,用户需要做出权衡。

苹果回应:并未发送真实 URL

事情闹大了,苹果爸爸也坐不住了。

针对数据传输争议,苹果公司10月15日回应称,用户实际上并未发送真实网址,也未与第三方共享这些数据。

苹果在声明中表示:苹果通过“Safari欺诈网站警告”功能保护用户隐私和数据安全。这是一种安全功能,用于标记已知的恶意网站。启用此功能后,Safari会对照已知网站的列表检查网站网址,如果用户正在访问的网站怀疑存在网络钓鱼等欺诈行为,则会显示警告。为了完成此任务,Safari从谷歌接收已知恶意网站列表,而对于区域代码设置为中国大陆的设备,则接收来自腾讯的列表。用户所访问网站的实际网址永远不会与安全浏览提供商共享,并且用户可以选择关闭该功能。”

安全浏览是如何工作的?

首先,谷歌和腾讯发送已知恶意网站的Safari哈希前缀(Hash prefixes)。在大多数地方,用户可以收到谷歌发送的已知恶意网站列表。如果用户设备的区域代码设置为中国大陆,你会得到腾讯的列表。哈希前缀虽然不完美,但设计起来比特定的网址更通用。

接着,Safari会再次检查用户尝试访问的任何网页的哈希前缀列表。如果它们匹配,则页面可能是恶意的。目前,Safari要求谷歌或腾讯提供匹配哈希前缀的网址完整列表。Safari然后对照设备上的列表检查该网址,以确定是否存在完全匹配的站点。因此,用户所访问网站的真实网址永远不会被发送给谷歌或腾讯。

由于Safari正在与谷歌和腾讯通信,因此它们确实看到了设备的IP地址,并且由于它们具有哈希前缀,所以这两家公司确实知道网站所属地域。

对于这个安全浏览功能,实际上不仅苹果这么处理,其他手机厂商如果提供相应功能,也会向相关行业的企业服务器发送信息,以检测用户访问的网站是否为欺骗性网站。另外,这种检测功能在手机的设置App或者浏览器App中也都存在相应的开启或者关闭选项。用户可以根据自己的需求进行手动开启或者关闭。

关于安全浏览,谷歌在几年前就意识到恶意网站的安全问题,并部署相关安全服务。在谷歌“安全浏览”的早期版本中,谷歌提供了一个API,允许浏览器询问用户所访问的站点的安全性。这个时候,谷歌是能够收集到用户的完整URL以及IP地址,因此,早期的这个API更像是一个隐私噩梦。这个API如今依旧存在,被称为Lookup API。

随后,谷歌更新API,来减少收集用户的浏览信息。不过,依旧还是需要浏览器向服务器发送信息来判断访问站点的安全性。因此,使用浏览器的安全检测功能与否,是一个信息隐私与安全之间的取舍,这当中需要安全服务提供商不断完善信息比对的方法。

部分文字、图片来自网络,如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。

及时掌握网络安全态势  尽在傻蛋联网设备搜索系统

【网络安全监管部门】免费试用→→点击申请

更多安全资讯请关注:

微信公众号 安数网络;新浪微博 @傻蛋搜索

联系站长租广告位!

中国首席信息安全官
Copy link