Surroundingqq wrote:
看了以後真的滿滿的擔...(恕刪)
你也可以選擇不要用safari
“Apple protects user privacy and safeguards your data with Safari Fraudulent Website Warning, a security feature that flags websites known to be malicious in nature. When the feature is enabled, Safari checks the website URL against lists of known websites and displays a warning if the URL the user is visiting is suspected of fraudulent conduct like phishing. To accomplish this task, Safari receives a list of websites known to be malicious from Google, and for devices with their region code set to mainland China, it receives a list from Tencent. The actual URL of a website you visit is never shared with a safe browsing provider and the feature can be turned off.”
來源: https://www.theverge.com/2019/10/14/20913680/apple-tencent-privacy-controversy-safe-browsing-blacklist-explainer
基本上騰訊服務僅限系統設為中國區的裝置,而且此功能可以被關掉。
Safe Browsing 是現在幾乎所有瀏覽器都有並且預設開啟的功能,來確保用戶不會進入釣魚詐騙病毒網站,原理是Google等網路公司將其收集到的危險網站域名算成一串Hash,本地端的裝置會從Google下載一份截短版的名單(前32位元),如果名單上找到和你正在去的網站的Hash前32位元相同的項目,你的瀏覽器就會跟Google的伺服器要所有開頭相同的項目的完整Hash來進行最終確認。估計是Google在中國不能用才找騰訊安全
動態IP
瀏覽網址
瀏覽器裡的cookie?
設備碼?
手機序號?
電話號碼?
GPS位置?
社群媒體帳號與個人資料?
Apple ID 帳密?
政府官方app的帳密實名個人資料?
銀行帳密?
看起來最了不起,被揭露跟上傳被比對的,甚至連使用者確切的瀏覽網址都沒送過去,然後新聞標題變成“Safari 偷傳用戶...“變成"Safari發送使用者隱私" 最後變成" Safari將用戶個人隱私傳到騰訊"
--
Using Numb3rs, we can solve the biggest mysteries we know
https://chinese.engadget.com/2019/10/15/apple-safari-response/
kkkid wrote:
請問是哪裡說的??英...(恕刪)
以下是參考 https://developers.google.com/safe-browsing/v4 API得到的結果
1. Apple會從 Google 下載一個 黑名單列表,保存在本地,這個動作吻合 Apple在回應中說的 “Safari receives a list of websites known to be malicious from Google”
2. 用戶現有的網址的 “頭部分”、 hash一下,變成類似 “WwuJdQ==” 的東西,然後對比 步驟1的列表,看看是否有中。
----- 步驟 1, 2 都是在iOS本身發生。不會有任何東西傳送給 Google -----
3. 如果不幸在 本地列表 中 命中了,這裏才是大家開始擔心的地方,不過Google的處理還是不錯的。
4. 把 這個 頭部分 “WwuJdQ==”,傳送給 Google, 然後Google會返回一個所有都是“WwuJdQ==”開頭的列表。
這裏就是 Apple回應中的 The actual URL of a website you visit is never shared with a safe browsing provider (因為只有 部分網址)
同時也是 Apple policy中提到的 Before visiting a website, Safari may send information calculated from the website address to Google Safe Browsing (對方知道你IP的地方)
5. 如果在這個新列表中再次命中,就是有問題的網址,反之沒事。
以下是Google的解釋:
If the hash prefix is present in the local database (a hash prefix collision), the client must send the hash prefix to the Safe Browsing servers for verification. The servers will return all full-length SHA 256 hashes that contain the given hash prefix. If one of those full-length hashes matches the full-length hash of the URL in question, then the URL is considered unsafe. If none of the full-length hashes match the full-length hash of the URL in question, then that URL is considered safe.
之後有人反編譯Apple的代碼 (https://twitter.com/eromang/status/1183422784082530304?s=21),發現 Google 或 Tencent 兩者用法一致,並且是二選一。再加上Apple回應只有中國用戶才用Tencent,所以應該可以放心使用。
不過個人覺得 Apple回應 中說的 actual URL 其實是避重就輕,畢竟 “部分網址” 已經知道用戶訪問的網站。
另外如果 某公司 在步驟1的時候,就把他們想監控的網址列為詐騙網址,那這樣Apple就會很正常的進行到步驟3。
然後 可以根據這個 “部分網址” 紀錄用戶的資料後,再在步驟4 新返回的完整列表裡面移除網址,讓步驟5失敗,用戶就完全收不到任何提示,整個過程神不知鬼不覺。
內文搜尋
從 APP 打開
X