蘋果爆安全漏洞 傳將iOS瀏覽數據傳給騰訊

據多間外媒報導,傳蘋果 (AAPL-US) 正涉入一起與中國有關的爭議,因蘋果 iOS 13 似乎會將包含 iOS 用戶訪問的網站和 IP 地址等瀏覽數據,發送給中國公司騰訊。

蘋果長久以來皆使用 Google (GOOGL-US) 的安全瀏覽技術,來保護用戶免受釣魚網站的侵害,而如果用戶試圖進入被 Google 標記為詐騙或惡意軟體來源的網站,則 Safari 將顯示警告,建議用戶不要繼續訪問該網站。

但外媒報導,有蘋果使用者發現 iOS 13 的 Safari 與隱私政策已遭更動,變成使用者的瀏覽資料,可能會傳給 Google 以及騰訊。

Safari 在訪問網站之前,可能會將根據該網站網址計算出的訊息發送給 Google 安全瀏覽和騰訊安全瀏覽,以檢查該網站是否為欺詐網站,這些安全瀏覽提供者也可能會因此獲得用戶 IP 地址等紀錄。

霍普金斯大學教授兼密碼學家 Matthew Green 表示,蘋果可能同時洩露用戶要訪問的網頁和 IP 地址,甚至還可能會在用戶的設備上放置一個 cookie。

有證據表明,只有在 iOS 區域被設置為中國時,蘋果才會將瀏覽數據發送至騰訊。然而,消息真實度仍尚未釐清。

對此,Google 已迅速提出了一種更安全的方法。新方法稱為「Update API」,其運作方式為:

  1. Google 首先計算其數據庫中每個不安全網域的 SHA256 hash 值,然後將每個 hash 值截斷為 32 位元的前綴以節省空間。
  2. Google 將截斷的 hash 數據庫發送到用戶的瀏覽器。
  3. 每次訪問網域時,瀏覽器都會對其進行 hash 處理,並檢查其 32 位元前綴是否包含在當地數據庫中。
  4. 如果在瀏覽器的當地副本中找到了前綴,瀏覽器便會將前綴發送到 Google 的伺服器,伺服器會回傳與其匹配的網域完整的 256 位元 hash 值列表,進而讓瀏覽器檢查是否完全符合。

基於此方法,Google 並不會知道用戶訪問的網頁,且不會挖掘相關數據。

多次瀏覽相關網站的用戶有可能會逐步將有關其瀏覽歷史記錄的詳細訊息揭露給某應用程式,而如果假設應用程式是惡意的,後果將相當嚴重。

針對安全瀏覽機制,蘋果已對其隱私基礎架構進行了重大修改,然而沒有公開或公告。

隨著蘋果產品的使用者越來越多,在用戶享受頂級產品帶來的美好體驗的同時,可能會伴隨而來的風險也是必須被更加注意的。然而,蘋果也將致力於克服類似的問題,並保持其完整性。