升級(jí)到iOS 13后，蘋果帶來了許多顯而易見的新特性，與此同時(shí)也包含了許多隱性變化，比如說Safari隱私條款的變化。這個(gè)細(xì)節(jié)藏得很深，如果你以為用戶不會(huì)深挖，永遠(yuǎn)也不會(huì)有人知道，那就錯(cuò)了——真相永遠(yuǎn)不會(huì)缺席，它只會(huì)遲到。

用戶的眼睛是雪亮的

近日，有用戶在蘋果的Safari隱私條款中發(fā)現(xiàn)了一條特別的內(nèi)容，叫做 Fraudulent Website Warning （欺騙性網(wǎng)站警告）。

原文是這樣的：“Before visiting a website, Safari may send information calculated from the website address to Google Safe Browsing and Tencent Safe Browsing to check if the website is fraudulent. These safe browsing providers may also log your IP address.”

（訪問網(wǎng)站之前，Safari瀏覽器可能會(huì)將從該網(wǎng)站地址計(jì)算得出信息發(fā)送給“Google安全瀏覽”和“騰訊安全瀏覽”，以檢查網(wǎng)站是否為欺詐性網(wǎng)站。這些安全瀏覽提供商也可能會(huì)記錄您的IP地址。）   

英文版

中文版

其中，“騰訊安全瀏覽”是新增內(nèi)容，之前主要是“Google安全瀏覽”。也就是說，如果開啟了Safari瀏覽器的“欺騙性網(wǎng)站警告”功能，當(dāng)用戶訪問一個(gè)網(wǎng)址時(shí)，訪問記錄會(huì)先發(fā)送給谷歌和騰訊進(jìn)行安全網(wǎng)站檢測(cè)，確認(rèn)安全后才會(huì)訪問，而谷歌和騰訊可能會(huì)記錄訪問者的IP等瀏覽數(shù)據(jù)。

該功能在Safari設(shè)置中是默認(rèn)開啟的，這引發(fā)了一些用戶的擔(dān)憂：

騰訊爸爸都知道我都在看什么了，那還行？

不少外媒表示，現(xiàn)在很多人都能接受與 Google 共享自己的瀏覽記錄，但騰訊令他們感到不放心，人們想知道騰訊會(huì)如何處理這些數(shù)據(jù)？以及騰訊是否會(huì)收集中國以外的用戶信息？

用戶可手動(dòng)關(guān)閉

對(duì)個(gè)人隱私感到擔(dān)憂的用戶可選擇手動(dòng)關(guān)閉：

• iOS：設(shè)置>Safari>關(guān)閉欺騙性網(wǎng)站警告

• macOS：Safari>首選項(xiàng)>安全>取消選中欺騙性網(wǎng)站警告

不過，關(guān)閉該功能的缺點(diǎn)是你可能會(huì)在沒有警告的情況下訪問惡意網(wǎng)站。因此，用戶需要做出權(quán)衡。

蘋果回應(yīng)：并未發(fā)送真實(shí) URL

事情鬧大了，蘋果爸爸也坐不住了。

針對(duì)數(shù)據(jù)傳輸爭(zhēng)議，蘋果公司10月15日回應(yīng)稱，用戶實(shí)際上并未發(fā)送真實(shí)網(wǎng)址，也未與第三方共享這些數(shù)據(jù)。

蘋果在聲明中表示：蘋果通過“Safari欺詐網(wǎng)站警告”功能保護(hù)用戶隱私和數(shù)據(jù)安全。這是一種安全功能，用于標(biāo)記已知的惡意網(wǎng)站。啟用此功能后，Safari會(huì)對(duì)照已知網(wǎng)站的列表檢查網(wǎng)站網(wǎng)址，如果用戶正在訪問的網(wǎng)站懷疑存在網(wǎng)絡(luò)釣魚等欺詐行為，則會(huì)顯示警告。為了完成此任務(wù)，Safari從谷歌接收已知惡意網(wǎng)站列表，而對(duì)于區(qū)域代碼設(shè)置為中國大陸的設(shè)備，則接收來自騰訊的列表。用戶所訪問網(wǎng)站的實(shí)際網(wǎng)址永遠(yuǎn)不會(huì)與安全瀏覽提供商共享，并且用戶可以選擇關(guān)閉該功能。”

安全瀏覽是如何工作的？

首先，谷歌和騰訊發(fā)送已知惡意網(wǎng)站的Safari哈希前綴（Hash prefixes）。在大多數(shù)地方，用戶可以收到谷歌發(fā)送的已知惡意網(wǎng)站列表。如果用戶設(shè)備的區(qū)域代碼設(shè)置為中國大陸，你會(huì)得到騰訊的列表。哈希前綴雖然不完美，但設(shè)計(jì)起來比特定的網(wǎng)址更通用。

接著，Safari會(huì)再次檢查用戶嘗試訪問的任何網(wǎng)頁的哈希前綴列表。如果它們匹配，則頁面可能是惡意的。目前，Safari要求谷歌或騰訊提供匹配哈希前綴的網(wǎng)址完整列表。Safari然后對(duì)照設(shè)備上的列表檢查該網(wǎng)址，以確定是否存在完全匹配的站點(diǎn)。因此，用戶所訪問網(wǎng)站的真實(shí)網(wǎng)址永遠(yuǎn)不會(huì)被發(fā)送給谷歌或騰訊。

由于Safari正在與谷歌和騰訊通信，因此它們確實(shí)看到了設(shè)備的IP地址，并且由于它們具有哈希前綴，所以這兩家公司確實(shí)知道網(wǎng)站所屬地域。

對(duì)于這個(gè)安全瀏覽功能，實(shí)際上不僅蘋果這么處理，其他手機(jī)廠商如果提供相應(yīng)功能，也會(huì)向相關(guān)行業(yè)的企業(yè)服務(wù)器發(fā)送信息，以檢測(cè)用戶訪問的網(wǎng)站是否為欺騙性網(wǎng)站。另外，這種檢測(cè)功能在手機(jī)的設(shè)置App或者瀏覽器App中也都存在相應(yīng)的開啟或者關(guān)閉選項(xiàng)。用戶可以根據(jù)自己的需求進(jìn)行手動(dòng)開啟或者關(guān)閉。

關(guān)于安全瀏覽，谷歌在幾年前就意識(shí)到惡意網(wǎng)站的安全問題，并部署相關(guān)安全服務(wù)。在谷歌“安全瀏覽”的早期版本中，谷歌提供了一個(gè)API，允許瀏覽器詢問用戶所訪問的站點(diǎn)的安全性。這個(gè)時(shí)候，谷歌是能夠收集到用戶的完整URL以及IP地址，因此，早期的這個(gè)API更像是一個(gè)隱私噩夢(mèng)。這個(gè)API如今依舊存在，被稱為Lookup API。

隨后，谷歌更新API，來減少收集用戶的瀏覽信息。不過，依舊還是需要瀏覽器向服務(wù)器發(fā)送信息來判斷訪問站點(diǎn)的安全性。因此，使用瀏覽器的安全檢測(cè)功能與否，是一個(gè)信息隱私與安全之間的取舍，這當(dāng)中需要安全服務(wù)提供商不斷完善信息比對(duì)的方法。

部分文字、圖片來自網(wǎng)絡(luò)，如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明