升級到iOS 13後,蘋果帶來了許多顯而易見的新特性,與此同時也包含了許多隱性變化,比如說Safari隱私條款的變化。這個細節藏得很深,如果你以為使用者不會深挖,永遠也不會有人知道,那就錯了——真相永遠不會缺席,它只會遲到。
使用者的眼睛是雪亮的近日,有使用者在蘋果的Safari隱私條款中發現了一條特別的內容,叫做 Fraudulent Website Warning (欺騙性網站警告)。
原文是這樣的:"Before visiting a website, Safari may send information calculated from the website address to Google Safe Browsing and Tencent Safe Browsing to check if the website is fraudulent. These safe browsing providers may also log your IP address."
(訪問網站之前,Safari瀏覽器可能會將從該網站地址計算得出資訊傳送給"Google安全瀏覽"和"騰訊安全瀏覽",以檢查網站是否為欺詐性網站。這些安全瀏覽提供商也可能會記錄您的IP地址。)
英文版
中文版
其中,"騰訊安全瀏覽"是新增內容,之前主要是"Google安全瀏覽"。也就是說,如果開啟了Safari瀏覽器的"欺騙性網站警告"功能,當用戶訪問一個網址時,訪問記錄會先發送給谷歌和騰訊進行安全網站檢測,確認安全後才會訪問,而谷歌和騰訊可能會記錄訪問者的IP等瀏覽資料。
該功能在Safari設定中是預設開啟的,這引發了一些使用者的擔憂:
騰訊爸爸都知道我都在看什麼了,那還行?
不少外媒表示,現在很多人都能接受與 Google 共享自己的瀏覽記錄,但騰訊令他們感到不放心,人們想知道騰訊會如何處理這些資料?以及騰訊是否會收集中國以外的使用者資訊?
使用者可手動關閉對個人隱私感到擔憂的使用者可選擇手動關閉:
iOS:設定>Safari>關閉欺騙性網站警告不過,關閉該功能的缺點是你可能會在沒有警告的情況下訪問惡意網站。因此,使用者需要做出權衡。
蘋果迴應:並未傳送真實 URL事情鬧大了,蘋果爸爸也坐不住了。
針對資料傳輸爭議,蘋果公司10月15日迴應稱,使用者實際上並未傳送真實網址,也未與第三方共享這些資料。
蘋果在宣告中表示:蘋果通過"Safari欺詐網站警告"功能保護使用者隱私和資料安全。這是一種安全功能,用於標記已知的惡意網站。啟用此功能後,Safari會對照已知網站的列表檢查網站網址,如果使用者正在訪問的網站懷疑存在網路釣魚等欺詐行為,則會顯示警告。為了完成此任務,Safari從谷歌接收已知惡意網站列表,而對於區域程式碼設定為中國大陸的裝置,則接收來自騰訊的列表。使用者所訪問網站的實際網址永遠不會與安全瀏覽提供商共享,並且使用者可以選擇關閉該功能。"
安全瀏覽是如何工作的?首先,谷歌和騰訊傳送已知惡意網站的Safari雜湊字首(Hash prefixes)。在大多數地方,使用者可以收到谷歌傳送的已知惡意網站列表。如果使用者裝置的區域程式碼設定為中國大陸,你會得到騰訊的列表。雜湊字首雖然不完美,但設計起來位元定的網址更通用。
接著,Safari會再次檢查使用者嘗試訪問的任何網頁的雜湊字首列表。如果它們匹配,則頁面可能是惡意的。目前,Safari要求谷歌或騰訊提供匹配雜湊字首的網址完整列表。Safari然後對照裝置上的列表檢查該網址,以確定是否存在完全匹配的站點。因此,使用者所訪問網站的真實網址永遠不會被髮送給谷歌或騰訊。
由於Safari正在與谷歌和騰訊通訊,因此它們確實看到了裝置的IP地址,並且由於它們具有雜湊字首,所以這兩家公司確實知道網站所屬地域。
對於這個安全瀏覽功能,實際上不僅蘋果這麼處理,其他手機廠商如果提供相應功能,也會向相關行業的企業伺服器傳送資訊,以檢測使用者訪問的網站是否為欺騙性網站。另外,這種檢測功能在手機的設定App或者瀏覽器App中也都存在相應的開啟或者關閉選項。使用者可以根據自己的需求進行手動開啟或者關閉。
關於安全瀏覽,谷歌在幾年前就意識到惡意網站的安全問題,並部署相關安全服務。在谷歌"安全瀏覽"的早期版本中,谷歌提供了一個API,允許瀏覽器詢問使用者所訪問的站點的安全性。這個時候,谷歌是能夠收集到使用者的完整URL以及IP地址,因此,早期的這個API更像是一個隱私噩夢。這個API現在依舊存在,被稱為Lookup API。
隨後,谷歌更新API,來減少收集使用者的瀏覽資訊。不過,依舊還是需要瀏覽器向伺服器傳送資訊來判斷訪問站點的安全性。因此,使用瀏覽器的安全檢測功能與否,是一個資訊隱私與安全之間的取捨,這當中需要安全服務提供商不斷完善資訊比對的方法。
及時掌握網路安全態勢 盡在傻蛋聯網裝置搜尋系統