36氪

媒體認證
2019年10月15日 14:12

【#36氪最前線# |蘋果否認向騰訊泄露隱私數據,但懷疑者們仍有問題】
本周,彭博社報道稱,蘋果公司正在將 iOS 用戶數據發送給中國公司騰訊。作為一家以維護用戶隱私作為產品賣點的企業來說,這似乎是一則駭人的醜聞。15 日凌晨,蘋果公司向媒體做出了回復,表示這種說法並不屬實。

包括彭博社在內的數家媒體指出,大約兩年來,蘋果一直將數據發送給騰訊,是因為 iPhone 和 iPad 有一項安全功能,會在用戶載入網站之前警告用戶網站是惡意的或是不安全的。蘋果判斷網站是否安全的標準是根據已知存在問題的站點列表檢查地址,而該列表由騰訊和 Google 提供,前者由中國大陸用戶組成,後者由世界其他地區用戶組成。

iOS 13 中的一條註釋提到,其 Safari 瀏覽器會使用騰訊的安全瀏覽系統來幫助對抗惡意網頁,但騰訊可能會在此過程中記錄 IP 地址。實際上從 2017 年的 iOS 11 開始,騰訊就已經開始為蘋果提供安全瀏覽功能,而 Google 更早,從 2008 年開始。蘋果只是在最近更新了 iOS 版本中對該功能的描述。

15 日凌晨,蘋果在一則回復中寫道:

蘋果通過「Safari 欺詐性網站警告」保護用戶隱私和數據,這是一種可標記已知惡意網站的安全功能。啟用此功能后,Safari 會對照已知網站列表檢查網站的 URL,並在用戶訪問的 URL 被懷疑存在網路釣魚等欺詐行為時顯示警告。

為了完成這項任務,Safari 會收到來自 Google 的已知惡意網站列表,對於區域代碼設置為中國大陸的設備,則會收到來自騰訊的列表。您訪問的網站的實際 URL 永遠不會與安全瀏覽提供商共享,您也可以關閉該功能。

蘋果為美國科技媒體 ZDNet 提供了一份更詳細的說明。說明中寫道:Google 和騰訊「將資料庫的副本發送到用戶的瀏覽器,並讓瀏覽器根據本地資料庫檢查 URL,因此用戶的具體數據實際上從未到達那兩家公司。而且,「騰訊的黑名單僅在無法使用 Google 域名的中國大陸內部使用」。

但是,約翰霍普金斯大學的密碼學家 Matthew Green 提出了新的問題。他指出,實際上 Google 會依賴黑名單和 Safari 之間「複雜的相互作用」。

Matthew Green 描述的整個標記流程如下:Google 將每個不安全的 URL 哈希化為不明確標識的代碼,然後將這些哈希值的第一部分發送給 Safari,稱為「前綴」。當用戶訪問網頁時,Safari 會對其 URL 哈希化並檢查前綴清單。如果匹配,Safari 會詢問 Google 包含該前綴的所有哈希值。接下來,Google 提供這些內容,Safari 瀏覽器再檢查較小的列表是否完全匹配。如果找到該頁面,則標記該頁面。

Matthew Green 分析稱,這意味著 Google 永遠不會看到完整的 URL 哈希值,在大多數情況下,它根本不會獲得任何信息。但是,當 Safari 找到匹配的前綴並要求 Google 提供更多的哈希值時,它就會顯示用戶的 IP 地址以及他們所訪問頁面的部分哈希值。如此積少成多仍然有侵蝕用戶隱私的嫌疑。

奇怪的是,大多數報道此消息的媒體,並沒有過多討論 Google 竊取用戶隱私的可能性,而是一致將注意力放在了騰訊身上,包括 Matthew Green 本人。「我沒有得出騰訊正在跟蹤用戶的結論,但騰訊有可能會這樣做。」Matthew Green 說。「所以蘋果與騰訊的合作應該更透明。」