升級到iOS 13后，蘋果帶來了許多顯而易見的新特性，與此同時也包含了許多隱性變化，比如說Safari隱私條款的變化。這個細節(jié)藏得很深，如果你以為用戶不會深挖，永遠也不會有人知道，那就錯了——真相永遠不會缺席，它只會遲到。

用戶的眼睛是雪亮的

近日，有用戶在蘋果的Safari隱私條款中發(fā)現(xiàn)了一條特別的內(nèi)容，叫做 Fraudulent Website Warning （欺騙性網(wǎng)站警告）。

原文是這樣的：“Before visiting a website, Safari may send information calculated from the website address to Google Safe Browsing and Tencent Safe Browsing to check if the website is fraudulent. These safe browsing providers may also log your IP address.”

（訪問網(wǎng)站之前，Safari瀏覽器可能會將從該網(wǎng)站地址計算得出信息發(fā)送給“Google安全瀏覽”和“騰訊安全瀏覽”，以檢查網(wǎng)站是否為欺詐性網(wǎng)站。這些安全瀏覽提供商也可能會記錄您的IP地址。）   

英文版

中文版

其中，“騰訊安全瀏覽”是新增內(nèi)容，之前主要是“Google安全瀏覽”。也就是說，如果開啟了Safari瀏覽器的“欺騙性網(wǎng)站警告”功能，當(dāng)用戶訪問一個網(wǎng)址時，訪問記錄會先發(fā)送給谷歌和騰訊進行安全網(wǎng)站檢測，確認安全后才會訪問，而谷歌和騰訊可能會記錄訪問者的IP等瀏覽數(shù)據(jù)。

該功能在Safari設(shè)置中是默認開啟的，這引發(fā)了一些用戶的擔(dān)憂：

騰訊爸爸都知道我都在看什么了，那還行？

不少外媒表示，現(xiàn)在很多人都能接受與 Google 共享自己的瀏覽記錄，但騰訊令他們感到不放心，人們想知道騰訊會如何處理這些數(shù)據(jù)？以及騰訊是否會收集中國以外的用戶信息？

用戶可手動關(guān)閉

對個人隱私感到擔(dān)憂的用戶可選擇手動關(guān)閉：

• iOS：設(shè)置>Safari>關(guān)閉欺騙性網(wǎng)站警告

• macOS：Safari>首選項>安全>取消選中欺騙性網(wǎng)站警告

不過，關(guān)閉該功能的缺點是你可能會在沒有警告的情況下訪問惡意網(wǎng)站。因此，用戶需要做出權(quán)衡。

蘋果回應(yīng)：并未發(fā)送真實 URL

事情鬧大了，蘋果爸爸也坐不住了。

針對數(shù)據(jù)傳輸爭議，蘋果公司10月15日回應(yīng)稱，用戶實際上并未發(fā)送真實網(wǎng)址，也未與第三方共享這些數(shù)據(jù)。

蘋果在聲明中表示：蘋果通過“Safari欺詐網(wǎng)站警告”功能保護用戶隱私和數(shù)據(jù)安全。這是一種安全功能，用于標記已知的惡意網(wǎng)站。啟用此功能后，Safari會對照已知網(wǎng)站的列表檢查網(wǎng)站網(wǎng)址，如果用戶正在訪問的網(wǎng)站懷疑存在網(wǎng)絡(luò)釣魚等欺詐行為，則會顯示警告。為了完成此任務(wù)，Safari從谷歌接收已知惡意網(wǎng)站列表，而對于區(qū)域代碼設(shè)置為中國大陸的設(shè)備，則接收來自騰訊的列表。用戶所訪問網(wǎng)站的實際網(wǎng)址永遠不會與安全瀏覽提供商共享，并且用戶可以選擇關(guān)閉該功能。”

安全瀏覽是如何工作的？

首先，谷歌和騰訊發(fā)送已知惡意網(wǎng)站的Safari哈希前綴（Hash prefixes）。在大多數(shù)地方，用戶可以收到谷歌發(fā)送的已知惡意網(wǎng)站列表。如果用戶設(shè)備的區(qū)域代碼設(shè)置為中國大陸，你會得到騰訊的列表。哈希前綴雖然不完美，但設(shè)計起來比特定的網(wǎng)址更通用。

接著，Safari會再次檢查用戶嘗試訪問的任何網(wǎng)頁的哈希前綴列表。如果它們匹配，則頁面可能是惡意的。目前，Safari要求谷歌或騰訊提供匹配哈希前綴的網(wǎng)址完整列表。Safari然后對照設(shè)備上的列表檢查該網(wǎng)址，以確定是否存在完全匹配的站點。因此，用戶所訪問網(wǎng)站的真實網(wǎng)址永遠不會被發(fā)送給谷歌或騰訊。

由于Safari正在與谷歌和騰訊通信，因此它們確實看到了設(shè)備的IP地址，并且由于它們具有哈希前綴，所以這兩家公司確實知道網(wǎng)站所屬地域。

對于這個安全瀏覽功能，實際上不僅蘋果這么處理，其他手機廠商如果提供相應(yīng)功能，也會向相關(guān)行業(yè)的企業(yè)服務(wù)器發(fā)送信息，以檢測用戶訪問的網(wǎng)站是否為欺騙性網(wǎng)站。另外，這種檢測功能在手機的設(shè)置App或者瀏覽器App中也都存在相應(yīng)的開啟或者關(guān)閉選項。用戶可以根據(jù)自己的需求進行手動開啟或者關(guān)閉。

關(guān)于安全瀏覽，谷歌在幾年前就意識到惡意網(wǎng)站的安全問題，并部署相關(guān)安全服務(wù)。在谷歌“安全瀏覽”的早期版本中，谷歌提供了一個API，允許瀏覽器詢問用戶所訪問的站點的安全性。這個時候，谷歌是能夠收集到用戶的完整URL以及IP地址，因此，早期的這個API更像是一個隱私噩夢。這個API如今依舊存在，被稱為Lookup API。

隨后，谷歌更新API，來減少收集用戶的瀏覽信息。不過，依舊還是需要瀏覽器向服務(wù)器發(fā)送信息來判斷訪問站點的安全性。因此，使用瀏覽器的安全檢測功能與否，是一個信息隱私與安全之間的取舍，這當(dāng)中需要安全服務(wù)提供商不斷完善信息比對的方法。

部分文字、圖片來自網(wǎng)絡(luò)，如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責(zé)人：張明