| 14 октября 2019 г. — 9:26 PT
Сегодня профессор и криптограф Мэтью Грин опубликовал отчет, в котором выразил обеспокоенность по поводу того, что Apple передает данные о просмотрах пользователей китайской компании Tencent. Теперь Apple дала официальный ответ, заверив пользователей, что фактические URL-адреса не передаются третьим лицам.
Apple использовала Google для предоставления услуг безопасного просмотра, но с выпуском iOS 13 и macOS Catalina начала использовать Tencent для соблюдения китайских нормативных требований.
Перед посещением веб-сайта Safari может отправлять информацию, рассчитанную из адреса веб-сайта, в Google Safe Browsing и Tencent Safe Browsing для проверки на наличие мошеннических сайтов. Эти поставщики безопасного просмотра также могут регистрировать ваш IP-адрес.
Как мы сообщали сегодня утром, профессор и криптограф Мэтью Грин выразил обеспокоенность по поводу того, что третьи стороны видят IP-адреса пользователей, а также какие веб-страницы они просматривают.
Мэтью Грин, профессор Университета Джонса Хопкинса и криптограф, говорит, что это проблематично, поскольку может раскрыть как страницу, которую вы пытаетесь посетить, так и ваш IP-адрес. Также может быть установлен файл cookie на вашем устройстве. Эти данные потенциально могут быть использованы для создания профиля вашего поведения в сети.
Bloomberg получил официальный ответ от Apple по этому вопросу. Компания заявляет, что фактические URL-адреса веб-сайтов не передаются Tencent или Google, и объясняет больше о предупреждениях о мошеннических сайтах, в том числе о том, что пользователи могут отключить эту функцию.
В заявлении также развеиваются опасения, что данные пользователей из США могут смешиваться с данными китайской компании Tencent. Apple уточняет, что использует Tencent в качестве поставщика безопасного просмотра только для пользователей, у которых устройства настроены с кодом региона материкового Китая. Заявление Apple для Bloomberg:
Apple защищает конфиденциальность пользователей и обеспечивает безопасность ваших данных с помощью функции «Предупреждение о мошеннических веб-сайтах» — функции безопасности, которая помечает веб-сайты, известные своим злонамеренным характером. Когда функция включена, Safari сверяет URL-адрес веб-сайта со списками известных веб-сайтов и отображает предупреждение, если URL-адрес, который посещает пользователь, предположительно связан с мошенническим поведением, например фишингом. Для выполнения этой задачи Safari получает список известных вредоносных веб-сайтов от Google, а для устройств с кодом региона, установленным на материковый Китай, он получает список от Tencent. Фактический URL-адрес посещаемого вами веб-сайта никогда не передается поставщику безопасного просмотра, и эту функцию можно отключить.
Обновление: Мы узнали больше подробностей о том, как работают предупреждения о мошеннических веб-сайтах в Safari и почему фактические URL-адреса не передаются третьим лицам.
Процесс проверки того, соответствует ли веб-сайт списку известных вредоносных сайтов, происходит до того, как Safari загрузит URL-адрес, и процесс сопоставления начинается с проверки только хэшированных префиксов.
Если Safari обнаружит совпадение хэшированного префикса, он отправит хэш поставщику безопасного просмотра, Google или Tencent, чтобы запросить полный список URL-адресов, соответствующих этому префиксу.
Поскольку Safari напрямую взаимодействует с Google или Tencent для запроса, они получают IP-адрес устройства. После того, как Safari получит полный список вредоносных URL-адресов, соответствующих префиксу, он проверит, совпадает ли полный URL на устройстве, поэтому фактический URL-адрес никогда не передается поставщику безопасного просмотра.
Если вы по-прежнему хотите отключить эти предупреждения, перейдите в «Настройки» → «Safari» → «Предупреждение о мошеннических веб-сайтах».
На Mac вы можете найти эту опцию в Safari → Настройки → Безопасность → Предупреждать при посещении мошеннического сайта.