蘋果 Safari 隱私爭議,不只是檯面上的資安議題

蘋果日前爆出的騰訊隱私爭議,可視為使用者對近期蘋果不斷對中讓步的反擊。
評論
▲Photo Credit: Shutterstock/ 達志影像
評論

蘋果公司近期爆出的隱私爭議,與其說是資訊安全議題,不如說摻雜了政治性意味的公關危機議題。而這些爭議引起的騷動,也可視為使用者對近期蘋果不斷對中國政府讓步的反擊。

蘋果同時採用 Google、騰訊資料庫

近期蘋果公司爆出使用者用 Safari 瀏覽器「詐騙網站警告」功能瀏覽網站時,會自動傳送 IP 位址等隱私資訊,再與 Safari 採用的外部安全瀏覽程式來交叉比較外部黑名單網站。過去蘋果公司通常採用 Google 安全瀏覽程式,但近期承認也採用騰訊( Tencent )安全瀏覽的黑名單資料,引起美國用戶騷動。

    推薦閱讀:蘋果 Safari 瀏覽器會發送使用者隱私資訊給騰訊!

據了解,雖然安全瀏覽程式所建立的黑名單資料對使用者有示警功能,但如果將它用來追蹤使用者,也可以讓瀏覽器自動提交使用者點擊過的每個網頁,並建立一個與 IP 位址連結的完整網路使用行為日誌。

但根據 The Verge 報導,蘋果雖然承認 Safari 瀏覽器採用 Google 和騰訊的安全瀏覽程式,但這兩家公司都沒有從 Safari 獲得任何用戶的網路使用行為資料。蘋果發布聲明指出,當啟用 Safari 瀏覽器的「詐騙網站警告」功能後,Safari 只會根據已知網站列表來檢查網頁的 URL(Uniform Resource Locator),並在用戶將造訪惡意網站時跳出警告。Safari 從 Google 獲得這些已知惡意網站的列表,而對區域代碼設置在中國大陸區域的狀況,則改從騰訊接收這些已知惡意網站列表。

蘋果聲稱,使用者可以自行關閉該功能;就算啟用,其所造訪網站的實際 URL 並不會與 Google 或騰訊共享。

從資安角度看:第三方網站很難取得完整 URL

ZDNet 也報導,不論是 Google 或騰訊,他們安全瀏覽程式的運作流程都是:先將惡意網站資料庫的副本傳送到使用者的瀏覽器,再讓瀏覽器依據資料庫來檢查使用者將造訪網站的 URL,因此流量是從外部傳入,並未與 Google 或騰訊接觸;此外,只有在無法使用 Google 網域的中國大陸境內,才會開啟騰訊的惡意網站黑名單列表。

約翰.霍普金斯大學密碼學家 Matthew Green 也詳細說明瀏覽器與外部安全瀏覽程式相互合作的複雜關係。首先,Google 安全瀏覽程式會將每個危險網站轉成「雜湊值」(Hash),再取雜湊值最前面的一些子字串,也就是「前綴」,將前綴發送給 Safari。

接下來,當使用者造訪網站時,Safari 也會對把網站的 URL 轉成雜湊值,並與 Google 所送來的惡意網站雜湊值前綴清單交互比對。如果前綴值匹配成功,Safari 會進一步請Google 提供該前綴詞的完整雜湊值,假使 Safari 再次比對後發現完全一樣,這個網站就會被標記為惡意網站並跳出示警。

從這段流程來看,雖然像 Google 安全瀏覽器這樣的第三方業者永遠不會看到完整的 URL 雜湊值,但當 Safari 找到可匹配的前綴值,並要求 Google 提供完整雜湊值時,此時 Safari 不只會呈現使用者將造訪網站的部分雜湊值,也會顯示他們的 IP 位址。

Matthew Green 認為,如果第三方合作廠商是誠信經營,那就可在保護隱私下有效制止使用者造訪惡意網站;但倘若廠商有心追蹤用戶的網路使用行為,就算只取得小部分資訊,日積月累下也可能入侵使用者的資訊、隱私安全。雖然他沒有表明騰訊是否嘗試追蹤使用者,但仍呼籲蘋果公司應該公開更多細節,避免大眾恐慌。

從政治角度來看:近期不斷對中讓步,引發網友不滿

評論認為,這件事情之所以會引爆網友負面騷動,是因為近期蘋果公司不斷對中國政府讓步,早已累積許多歐美網友不滿。例如,知名抗爭地圖 App「HKmap.live」,在香港反送中運動中可幫當地民眾避開警察檢查駐點,但蘋果公司上週卻將之從 App Store 上移除;此外,之前香港版跟澳門版的 iPhone 系統更新後,也把台灣國旗從 Emoji 表情符號中拿掉。

    推薦閱讀:香港抗爭地圖 HKmap 二度下架!庫克內部信指惡意用於襲警

    推薦閱讀:隨反送中越演越烈,中華民國國旗 emoji 在港版 iPhone「被蒸發」

雖然蘋果公司對外經常號稱自家產品的隱私、安全性遠遠高於競爭對手,但近期對中國政府讓步的種種行徑,似乎也成為這間公司的明顯弱點。

延伸閱讀:

核稿編輯:Mia



CLOUDSEC 2021 年會 掌握第一手的資安趨勢與產業實務

CLOUDSEC 2021 轉為線上,並融合全球與台灣當地的資安議題,帶領參與者了解第一手的資安趨勢與產業實務。
評論
評論

2020 是加速數位轉型的一年,世界就在一夜之間發生了變化。而2021 則是典範移轉的世代,尤其未來急速轉變,光是上雲已不足夠,必須認真思考,打破既有框架,重新想像因應這日新月異的雲世代。

CLOUDSEC 從 2011 年開始就是業界資安好手企盼的年度盛會,2021 也將順應潮流,從實體轉為線上,並融合全球與台灣當地的資安議題 :Zero Trust、DevOps Security、工控資安議題等,讓參與者更自由、彈性選擇參與適合自己的工作角色和專業能力。

CLOUDSEC 2021 企業資安高峰論壇 報名連結

會議時間:2021 年 11 月 16 日~ 11 月 18 日

  • Day 1(11 月 16 日):
    全球趨勢和資安洞察 (英文議程)
  • Day 2(11 月 17 日):
    資安威脅前瞻研究 / 產業領袖分享 / 資安生態協作與運作實務 (中文議程)
    台灣地區前瞻研究 / 產業洞察 / 業界證言 / 資安實務 (中文議程)
  • Day 3(11 月 18 日):
    CLOUDSEC CHALLENGE(TECHNICAL PRACTICE)(英文議程)

CLOUDSEC 2021 企業資安高峰論壇 報名連結

圖片來源:趨勢科技

CLOUDSEC 2021 亮點:第一手資安威脅前瞻研究與資深研究人員的分析說明

  • 趨勢科技全球核心技術部資深協理 張裕敏,將提供近年來數十個車子被駭的真實案例,帶您歸納駭客攻擊車子的思維,了解未來五年內駭客在電動車產業攻擊的藍圖。
  • 趨勢科技技術總監 戴燊,帶您了解 5G專網的資安隱憂和風險,世界越來越快速便利也不容忽略的安全問題。
  • 趨勢科技資安事故調查團隊經理 邱豊翔,將透過企業實際受害的調查案法分析,點破企業上雲網路安全迷思,並提供雲端安全威脅防禦策略。

另外還有產業領袖分享以及資安生態產業觀點,都是相當精彩的議程。

CLOUDSEC 2021 企業資安高峰論壇 報名連結

圖片來源:趨勢科技

本文章內容由「趨勢科技」提供,經關鍵評論網媒體集團廣編企劃編審。