更多

    【更新】iOS 版 Safari 被指將瀏覽資料送往騰訊「安全瀏覽」

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    AirTags 準備就緒? Find My 程式已暗藏 AirTags 介面?!

    話說昨晚 Samsung 的 Galaxy Unpacked 2021 發表會中,公布了一款藍牙物件定位裝置 Galaxy SmartTag 。雖然這兩年來已不停傳出 Apple 也準備推出名為 AirTags 的同類裝置,但未推出就是未推出。不過最近就有人發現 AirTags 功能其實已經暗藏於 iOS 14.3 之內,而且可以透過手機的 Safari 召喚出來!

    iOS 14.4 會對非官方鏡頭零件發出警告

    Apple 日前向開發者和公眾釋出 iOS 14.4 beta 2 。這個相隔了一個月推出的測試版本據報加入了檢測相機鏡頭模組的功能,如果用戶把手機拿去第三方維修商修理,而相機鏡頭不是原廠的話,就會發出警告。

    用 Apple 銀包、 Google Pay 儲存針卡?Microsoft 、 Oracle 加入 VCI 數碼針卡計劃

    香港政府早前推出「智方便」個人身分程式,打算未來展開新冠肺炎疫苗注射之後,可以透過智方便來存取「數碼針紙」。而在國外亦打算建立大規模的數碼針紙平台。美國時間 1 月 14 日一項名為 Vaccination Credential Initiative ( VCI )宣布成立,除了醫療相關的企業外, Microsoft 、 Oracle 、 Salesforce 等科企都有加入,希望政府機構、醫療機構和航空公司可以合作,開發一套電子證明卡。

    在香港多月來的抗爭運動中,多個網絡服務被質疑不當封鎖抗爭者的帳戶,又或者將資料交予中方。繼上星期 HKMap.live 被 App Store 下架之後, Apple 又再次被發現將 iPhone 及 iPad 用戶的 Safari 瀏覽資料傳送到與中國政府有密切關係的騰訊。
    有網民在 iOS 裝置 Safari 的「 Safari 與私隱政策」裡,發現有關「詐騙網站警告」中,由原本只傳送資料到「 Google 安全瀏覽」,加入「騰訊安全瀏覽」。據 Apple 的條款中指出:「這些安全瀏覽供應商也可能會紀錄你的 IP 地址」。

    在「設定」 App 點擊 Safari 一項;
    在「設定」 App 點擊 Safari 一項;

    在「私隱與保安」一節點擊「關於 Safari 與私隱政策」連結;
    在「私隱與保安」一節點擊「關於 Safari 與私隱政策」連結;

    在「詐騙網站警告」一節中清楚註明「會將從網站地址計算出來的資料送予『Google 安全瀏覽』和『騰訊安全瀏覽』」,而安全瀏覽供應商也可能會紀錄用戶的 IP 地址。
    在「詐騙網站警告」一節中清楚註明「會將從網站地址計算出來的資料送予『Google 安全瀏覽』和『騰訊安全瀏覽』」,而安全瀏覽供應商也可能會紀錄用戶的 IP 地址。

    據 Safari 的私隱政策中指傳送的是網址計算出來的資料,而並非直接傳輸網址。不過有用戶擔心,騰訊可以透過比對手上的網頁紀錄來得知用戶要瀏覽的網址,從而配對用戶 IP 追踪用戶。
    其實 Apple 引入「騰訊安全瀏覽」到 iOS 版 Safari 並非最近的事,據說早在今年 2 月的 iOS 12.2 beta 已經引入,而編輯部同事亦在 iOS 12.4.1 的 iPad 裡發現有關聲明。
    【下午 5:18 更新】有網友透過逆向工程檢查過有關詐騙網站警告,指出只有不能存取 Google 安全瀏覽的中國大陸用戶, 瀏覽資料才會傳送到騰訊安全瀏覽,而且騰訊安全瀏覽是採用與  Google 安全瀏覽相同的通訊協定。專門研究加密的約翰.霍普金斯大學教授 Matthew Green 詳細解釋了 Google 安全瀏覽的運作機制:

    1. Google 先計算不安全網站的網址成 SHA256 雜湊碼( Hash 又稱哈希值)存入資料庫,并將雜湊碼截斷成 32-bit 前綴來節省空間;
    2. Google 將前綴資料庫下載到用戶的瀏覽器;
    3. 每次用戶瀏覽時,瀏覽器會先計算網址的雜湊碼與存於本機的前綴資料庫作比對;
    4. 如果發現網址雜湊碼與本機前綴資料一致,就會將本機前綴送到 Google 伺服器,而 Google 伺服器就會將那個前綴碼的完整 256-bit 雜湊碼送回本機作完整比對。比對成功就代表用戶正打算瀏覽的是不安全網站。

    從上述的機制中我們可以看到,用戶瀏覽的網址並不會完整地送到伺服器去。

    有網友以逆向工程調查,得知 Safari 傳送不安全網站驗證資料時只會更換供應商網址,通訊協定無論 Google 或騰訊都一樣。
    網絡保安專家 Eric Romang 以逆向工程調查,得知 Safari 傳送不安全網站驗證資料時只會更換供應商網址,通訊協定無論 Google 或騰訊都一樣。

    有網民指只要將 iOS 版 Safari 的「詐騙網站警告」功能關閉,就可以防止瀏覽資料被傳送給騰訊。不過「詐騙網站警告」可以防止大家誤墮詐騙網站陷阱,和防止網站利用未知的瀏覽器漏洞入侵手機,所以關閉了「詐騙網站警告」風險更大,更容易受到駭客入侵。對於 Safari 仍有介心的用戶可以轉用 Google Chrome 。
    用戶雖然可以關閉「詐騙網站警告」來避免瀏覽資料被傳送到騰訊,不過風險更高。
    用戶雖然可以關閉「詐騙網站警告」來避免瀏覽資料被傳送到騰訊,不過風險更高。

    而在 macOS 方面,以筆者所用的 Safari 13.0.2 所見, macOS 版 Safari 仍然只使用「 Google 安全瀏覽」為安全瀏覽供應商。
    現時 macOS 版 Safari 仍然只使用 Google 安全瀏覽來驗證網站。
    現時 macOS 版 Safari 仍然只使用 Google 安全瀏覽來驗證網站。

    您會感興趣的內容

    相關文章