在香港多月來的抗爭運動中,多個網絡服務被質疑不當封鎖抗爭者的帳戶,又或者將資料交予中方。繼上星期 HKMap.live 被 App Store 下架之後, Apple 又再次被發現將 iPhone 及 iPad 用戶的 Safari 瀏覽資料傳送到與中國政府有密切關係的騰訊。
有網民在 iOS 裝置 Safari 的「 Safari 與私隱政策」裡,發現有關「詐騙網站警告」中,由原本只傳送資料到「 Google 安全瀏覽」,加入「騰訊安全瀏覽」。據 Apple 的條款中指出:「這些安全瀏覽供應商也可能會紀錄你的 IP 地址」。
據 Safari 的私隱政策中指傳送的是網址計算出來的資料,而並非直接傳輸網址。不過有用戶擔心,騰訊可以透過比對手上的網頁紀錄來得知用戶要瀏覽的網址,從而配對用戶 IP 追踪用戶。
其實 Apple 引入「騰訊安全瀏覽」到 iOS 版 Safari 並非最近的事,據說早在今年 2 月的 iOS 12.2 beta 已經引入,而編輯部同事亦在 iOS 12.4.1 的 iPad 裡發現有關聲明。
【下午 5:18 更新】有網友透過逆向工程檢查過有關詐騙網站警告,指出只有不能存取 Google 安全瀏覽的中國大陸用戶, 瀏覽資料才會傳送到騰訊安全瀏覽,而且騰訊安全瀏覽是採用與 Google 安全瀏覽相同的通訊協定。專門研究加密的約翰.霍普金斯大學教授 Matthew Green 詳細解釋了 Google 安全瀏覽的運作機制:
- Google 先計算不安全網站的網址成 SHA256 雜湊碼( Hash 又稱哈希值)存入資料庫,并將雜湊碼截斷成 32-bit 前綴來節省空間;
- Google 將前綴資料庫下載到用戶的瀏覽器;
- 每次用戶瀏覽時,瀏覽器會先計算網址的雜湊碼與存於本機的前綴資料庫作比對;
- 如果發現網址雜湊碼與本機前綴資料一致,就會將本機前綴送到 Google 伺服器,而 Google 伺服器就會將那個前綴碼的完整 256-bit 雜湊碼送回本機作完整比對。比對成功就代表用戶正打算瀏覽的是不安全網站。
從上述的機制中我們可以看到,用戶瀏覽的網址並不會完整地送到伺服器去。
有網民指只要將 iOS 版 Safari 的「詐騙網站警告」功能關閉,就可以防止瀏覽資料被傳送給騰訊。不過「詐騙網站警告」可以防止大家誤墮詐騙網站陷阱,和防止網站利用未知的瀏覽器漏洞入侵手機,所以關閉了「詐騙網站警告」風險更大,更容易受到駭客入侵。對於 Safari 仍有介心的用戶可以轉用 Google Chrome 。
而在 macOS 方面,以筆者所用的 Safari 13.0.2 所見, macOS 版 Safari 仍然只使用「 Google 安全瀏覽」為安全瀏覽供應商。