香港六彩一尾中特

網絡空間安全:行業資訊、技術分享、法規研討、趨勢分析……

“游俠安全網”創建了網絡安全從業者QQ大群(群號:1255197) ,歡迎各位同仁加入!有其它問題如合作等,請聯系站長“網路游俠”,QQ:55984512
?

蘋果被曝向騰訊傳輸用戶隱私,是暗通款曲還是無中生有?

2019-10-18 17:25 推薦: 瀏覽: 14 views 字號:

摘要: 升級到iOS 13后,蘋果帶來了許多顯而易見的新特性,與此同時也包含了許多隱性變化,比如說Safari隱私條款的變化。這個細節藏得很深,如果你以為用戶不會深挖,永遠也不會有人知道,那就錯了——真相永遠不會缺席,它只會遲到。 用戶的眼睛是雪亮的 近日,有用戶在蘋...

升級到iOS 13后,蘋果帶來了許多顯而易見的新特性,與此同時也包含了許多隱性變化,比如說Safari隱私條款的變化。這個細節藏得很深,如果你以為用戶不會深挖,永遠也不會有人知道,那就錯了——真相永遠不會缺席,它只會遲到。

用戶的眼睛是雪亮的

近日,有用戶在蘋果的Safari隱私條款中發現了一條特別的內容,叫做 Fraudulent Website Warning (欺騙性網站警告)。

原文是這樣的:“Before visiting a website, Safari may send information calculated from the website address to Google Safe Browsing and Tencent Safe Browsing to check if the website is fraudulent. These safe browsing providers may also log your IP address.”

(訪問網站之前,Safari瀏覽器可能會將從該網站地址計算得出信息發送給“Google安全瀏覽”和“騰訊安全瀏覽”,以檢查網站是否為欺詐性網站。這些安全瀏覽提供商也可能會記錄您的IP地址。)

英文版

中文版

其中,“騰訊安全瀏覽”是新增內容,之前主要是“Google安全瀏覽”。也就是說,如果開啟了Safari瀏覽器的“欺騙性網站警告”功能,當用戶訪問一個網址時,訪問記錄會先發送給谷歌和騰訊進行安全網站檢測,確認安全后才會訪問,而谷歌和騰訊可能會記錄訪問者的IP等瀏覽數據。

該功能在Safari設置中是默認開啟的,這引發了一些用戶的擔憂:

騰訊爸爸都知道我都在看什么了,那還行?

不少外媒表示,現在很多人都能接受與 Google 共享自己的瀏覽記錄,但騰訊令他們感到不放心,人們想知道騰訊會如何處理這些數據?以及騰訊是否會收集中國以外的用戶信息?

用戶可手動關閉

對個人隱私感到擔憂的用戶可選擇手動關閉:

  • iOS:設置>Safari>關閉欺騙性網站警告

  • macOS:Safari>首選項>安全>取消選中欺騙性網站警告

不過,關閉該功能的缺點是你可能會在沒有警告的情況下訪問惡意網站。因此,用戶需要做出權衡。

蘋果回應:并未發送真實 URL

事情鬧大了,蘋果爸爸也坐不住了。

針對數據傳輸爭議,蘋果公司10月15日回應稱,用戶實際上并未發送真實網址,也未與第三方共享這些數據。

蘋果在聲明中表示:蘋果通過“Safari欺詐網站警告”功能保護用戶隱私和數據安全。這是一種安全功能,用于標記已知的惡意網站。啟用此功能后,Safari會對照已知網站的列表檢查網站網址,如果用戶正在訪問的網站懷疑存在網絡釣魚等欺詐行為,則會顯示警告。為了完成此任務,Safari從谷歌接收已知惡意網站列表,而對于區域代碼設置為中國大陸的設備,則接收來自騰訊的列表。用戶所訪問網站的實際網址永遠不會與安全瀏覽提供商共享,并且用戶可以選擇關閉該功能。”

安全瀏覽是如何工作的?

首先,谷歌和騰訊發送已知惡意網站的Safari哈希前綴(Hash prefixes)。在大多數地方,用戶可以收到谷歌發送的已知惡意網站列表。如果用戶設備的區域代碼設置為中國大陸,你會得到騰訊的列表。哈希前綴雖然不完美,但設計起來比特定的網址更通用。

接著,Safari會再次檢查用戶嘗試訪問的任何網頁的哈希前綴列表。如果它們匹配,則頁面可能是惡意的。目前,Safari要求谷歌或騰訊提供匹配哈希前綴的網址完整列表。Safari然后對照設備上的列表檢查該網址,以確定是否存在完全匹配的站點。因此,用戶所訪問網站的真實網址永遠不會被發送給谷歌或騰訊。

由于Safari正在與谷歌和騰訊通信,因此它們確實看到了設備的IP地址,并且由于它們具有哈希前綴,所以這兩家公司確實知道網站所屬地域。

對于這個安全瀏覽功能,實際上不僅蘋果這么處理,其他手機廠商如果提供相應功能,也會向相關行業的企業服務器發送信息,以檢測用戶訪問的網站是否為欺騙性網站。另外,這種檢測功能在手機的設置App或者瀏覽器App中也都存在相應的開啟或者關閉選項。用戶可以根據自己的需求進行手動開啟或者關閉。

關于安全瀏覽,谷歌在幾年前就意識到惡意網站的安全問題,并部署相關安全服務。在谷歌“安全瀏覽”的早期版本中,谷歌提供了一個API,允許瀏覽器詢問用戶所訪問的站點的安全性。這個時候,谷歌是能夠收集到用戶的完整URL以及IP地址,因此,早期的這個API更像是一個隱私噩夢。這個API如今依舊存在,被稱為Lookup API。

隨后,谷歌更新API,來減少收集用戶的瀏覽信息。不過,依舊還是需要瀏覽器向服務器發送信息來判斷訪問站點的安全性。因此,使用瀏覽器的安全檢測功能與否,是一個信息隱私與安全之間的取舍,這當中需要安全服務提供商不斷完善信息比對的方法。

部分文字、圖片來自網絡,如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。

及時掌握網絡安全態勢 ?盡在傻蛋聯網設備搜索系統

【網絡安全監管部門】免費試用→→點擊申請

更多安全資訊請關注:

微信公眾號 安數網絡;新浪微博 @傻蛋搜索

聯系站長租廣告位!
?
中國首席信息安全官


關閉


關閉
香港六彩一尾中特 湖北快三 足球彩票比分直播直播 日本av女优激情视频 深度斯诺克比分直 上证指数走势图十年 竞彩足球比分 结果 开奖 澳洲幸运8 欧洲即时赔率哪里查 一级a做爰片免费网站 乐乐安徽麻将微信版 山东11选5开奖统 今晚国足比赛比分 大航海时代 大赢家比分足球比分 海南麻将规则 两个人怎么玩麻将