更多

    【更新】iOS 版 Safari 被指將瀏覽資料送往騰訊「安全瀏覽」

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    在嘈雜環境下出現啪啪聲    Apple 安排全球免費更換 AirPods Pro

    Apple 剛發出通告,指發現小部分 AirPods Pro 耳機會出現聲音問題,將會安排全球更換有問題耳機。受影響的 AirPods Pro 是在 2020 年 10 月前生產,即幾乎所有現已售出的 AirPods Pro 可能都會受影響。

    激戰一觸即發 Facebook 參入雲端遊戲市場

    繼 Microsoft 、 Google 、 Amazon 相繼推出雲端串流遊戲服務之後,另一個科網巨人 Facebook 也在日前宣布加入這個市場,首先在美國部分地區推出雲端串流遊戲。用戶可以透過 Facebook 程式或者瀏覽器進行遊戲。

    PlayStation 手機程式更新支援 PlayStation 5

    Sony Interactive Entertainment (SIE) 昨日為 PlayStation App 推出更新,新版本支援 11 月 19 日在港推出的 PlayStation 5 主機,並且與另一個 PS 手機程式《 PS Messages 》整合。

    在香港多月來的抗爭運動中,多個網絡服務被質疑不當封鎖抗爭者的帳戶,又或者將資料交予中方。繼上星期 HKMap.live 被 App Store 下架之後, Apple 又再次被發現將 iPhone 及 iPad 用戶的 Safari 瀏覽資料傳送到與中國政府有密切關係的騰訊。
    有網民在 iOS 裝置 Safari 的「 Safari 與私隱政策」裡,發現有關「詐騙網站警告」中,由原本只傳送資料到「 Google 安全瀏覽」,加入「騰訊安全瀏覽」。據 Apple 的條款中指出:「這些安全瀏覽供應商也可能會紀錄你的 IP 地址」。

    在「設定」 App 點擊 Safari 一項;
    在「設定」 App 點擊 Safari 一項;

    在「私隱與保安」一節點擊「關於 Safari 與私隱政策」連結;
    在「私隱與保安」一節點擊「關於 Safari 與私隱政策」連結;

    在「詐騙網站警告」一節中清楚註明「會將從網站地址計算出來的資料送予『Google 安全瀏覽』和『騰訊安全瀏覽』」,而安全瀏覽供應商也可能會紀錄用戶的 IP 地址。
    在「詐騙網站警告」一節中清楚註明「會將從網站地址計算出來的資料送予『Google 安全瀏覽』和『騰訊安全瀏覽』」,而安全瀏覽供應商也可能會紀錄用戶的 IP 地址。

    據 Safari 的私隱政策中指傳送的是網址計算出來的資料,而並非直接傳輸網址。不過有用戶擔心,騰訊可以透過比對手上的網頁紀錄來得知用戶要瀏覽的網址,從而配對用戶 IP 追踪用戶。
    其實 Apple 引入「騰訊安全瀏覽」到 iOS 版 Safari 並非最近的事,據說早在今年 2 月的 iOS 12.2 beta 已經引入,而編輯部同事亦在 iOS 12.4.1 的 iPad 裡發現有關聲明。
    【下午 5:18 更新】有網友透過逆向工程檢查過有關詐騙網站警告,指出只有不能存取 Google 安全瀏覽的中國大陸用戶, 瀏覽資料才會傳送到騰訊安全瀏覽,而且騰訊安全瀏覽是採用與  Google 安全瀏覽相同的通訊協定。專門研究加密的約翰.霍普金斯大學教授 Matthew Green 詳細解釋了 Google 安全瀏覽的運作機制:

    1. Google 先計算不安全網站的網址成 SHA256 雜湊碼( Hash 又稱哈希值)存入資料庫,并將雜湊碼截斷成 32-bit 前綴來節省空間;
    2. Google 將前綴資料庫下載到用戶的瀏覽器;
    3. 每次用戶瀏覽時,瀏覽器會先計算網址的雜湊碼與存於本機的前綴資料庫作比對;
    4. 如果發現網址雜湊碼與本機前綴資料一致,就會將本機前綴送到 Google 伺服器,而 Google 伺服器就會將那個前綴碼的完整 256-bit 雜湊碼送回本機作完整比對。比對成功就代表用戶正打算瀏覽的是不安全網站。

    從上述的機制中我們可以看到,用戶瀏覽的網址並不會完整地送到伺服器去。

    有網友以逆向工程調查,得知 Safari 傳送不安全網站驗證資料時只會更換供應商網址,通訊協定無論 Google 或騰訊都一樣。
    網絡保安專家 Eric Romang 以逆向工程調查,得知 Safari 傳送不安全網站驗證資料時只會更換供應商網址,通訊協定無論 Google 或騰訊都一樣。

    有網民指只要將 iOS 版 Safari 的「詐騙網站警告」功能關閉,就可以防止瀏覽資料被傳送給騰訊。不過「詐騙網站警告」可以防止大家誤墮詐騙網站陷阱,和防止網站利用未知的瀏覽器漏洞入侵手機,所以關閉了「詐騙網站警告」風險更大,更容易受到駭客入侵。對於 Safari 仍有介心的用戶可以轉用 Google Chrome 。
    用戶雖然可以關閉「詐騙網站警告」來避免瀏覽資料被傳送到騰訊,不過風險更高。
    用戶雖然可以關閉「詐騙網站警告」來避免瀏覽資料被傳送到騰訊,不過風險更高。

    而在 macOS 方面,以筆者所用的 Safari 13.0.2 所見, macOS 版 Safari 仍然只使用「 Google 安全瀏覽」為安全瀏覽供應商。
    現時 macOS 版 Safari 仍然只使用 Google 安全瀏覽來驗證網站。
    現時 macOS 版 Safari 仍然只使用 Google 安全瀏覽來驗證網站。

    您會感興趣的內容

    相關文章