更多

    【更新】iOS 版 Safari 被指將瀏覽資料送往騰訊「安全瀏覽」

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    在香港多月來的抗爭運動中,多個網絡服務被質疑不當封鎖抗爭者的帳戶,又或者將資料交予中方。繼上星期 HKMap.live 被 App Store 下架之後, Apple 又再次被發現將 iPhone 及 iPad 用戶的 Safari 瀏覽資料傳送到與中國政府有密切關係的騰訊。
    有網民在 iOS 裝置 Safari 的「 Safari 與私隱政策」裡,發現有關「詐騙網站警告」中,由原本只傳送資料到「 Google 安全瀏覽」,加入「騰訊安全瀏覽」。據 Apple 的條款中指出:「這些安全瀏覽供應商也可能會紀錄你的 IP 地址」。

    在「設定」 App 點擊 Safari 一項;
    在「設定」 App 點擊 Safari 一項;

    在「私隱與保安」一節點擊「關於 Safari 與私隱政策」連結;
    在「私隱與保安」一節點擊「關於 Safari 與私隱政策」連結;

    在「詐騙網站警告」一節中清楚註明「會將從網站地址計算出來的資料送予『Google 安全瀏覽』和『騰訊安全瀏覽』」,而安全瀏覽供應商也可能會紀錄用戶的 IP 地址。
    在「詐騙網站警告」一節中清楚註明「會將從網站地址計算出來的資料送予『Google 安全瀏覽』和『騰訊安全瀏覽』」,而安全瀏覽供應商也可能會紀錄用戶的 IP 地址。

    據 Safari 的私隱政策中指傳送的是網址計算出來的資料,而並非直接傳輸網址。不過有用戶擔心,騰訊可以透過比對手上的網頁紀錄來得知用戶要瀏覽的網址,從而配對用戶 IP 追踪用戶。
    其實 Apple 引入「騰訊安全瀏覽」到 iOS 版 Safari 並非最近的事,據說早在今年 2 月的 iOS 12.2 beta 已經引入,而編輯部同事亦在 iOS 12.4.1 的 iPad 裡發現有關聲明。
    【下午 5:18 更新】有網友透過逆向工程檢查過有關詐騙網站警告,指出只有不能存取 Google 安全瀏覽的中國大陸用戶, 瀏覽資料才會傳送到騰訊安全瀏覽,而且騰訊安全瀏覽是採用與  Google 安全瀏覽相同的通訊協定。專門研究加密的約翰.霍普金斯大學教授 Matthew Green 詳細解釋了 Google 安全瀏覽的運作機制:

    1. Google 先計算不安全網站的網址成 SHA256 雜湊碼( Hash 又稱哈希值)存入資料庫,并將雜湊碼截斷成 32-bit 前綴來節省空間;
    2. Google 將前綴資料庫下載到用戶的瀏覽器;
    3. 每次用戶瀏覽時,瀏覽器會先計算網址的雜湊碼與存於本機的前綴資料庫作比對;
    4. 如果發現網址雜湊碼與本機前綴資料一致,就會將本機前綴送到 Google 伺服器,而 Google 伺服器就會將那個前綴碼的完整 256-bit 雜湊碼送回本機作完整比對。比對成功就代表用戶正打算瀏覽的是不安全網站。

    從上述的機制中我們可以看到,用戶瀏覽的網址並不會完整地送到伺服器去。

    有網友以逆向工程調查,得知 Safari 傳送不安全網站驗證資料時只會更換供應商網址,通訊協定無論 Google 或騰訊都一樣。
    網絡保安專家 Eric Romang 以逆向工程調查,得知 Safari 傳送不安全網站驗證資料時只會更換供應商網址,通訊協定無論 Google 或騰訊都一樣。

    有網民指只要將 iOS 版 Safari 的「詐騙網站警告」功能關閉,就可以防止瀏覽資料被傳送給騰訊。不過「詐騙網站警告」可以防止大家誤墮詐騙網站陷阱,和防止網站利用未知的瀏覽器漏洞入侵手機,所以關閉了「詐騙網站警告」風險更大,更容易受到駭客入侵。對於 Safari 仍有介心的用戶可以轉用 Google Chrome 。
    用戶雖然可以關閉「詐騙網站警告」來避免瀏覽資料被傳送到騰訊,不過風險更高。
    用戶雖然可以關閉「詐騙網站警告」來避免瀏覽資料被傳送到騰訊,不過風險更高。

    而在 macOS 方面,以筆者所用的 Safari 13.0.2 所見, macOS 版 Safari 仍然只使用「 Google 安全瀏覽」為安全瀏覽供應商。
    現時 macOS 版 Safari 仍然只使用 Google 安全瀏覽來驗證網站。
    現時 macOS 版 Safari 仍然只使用 Google 安全瀏覽來驗證網站。

    您會感興趣的內容

    相關文章