更多

    【更新】iOS 版 Safari 被指將瀏覽資料送往騰訊「安全瀏覽」

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    【暑假冇展睇】動漫節不敵疫情宣布延期至年底

    原定本星期三舉行的香港書展已經在今早宣布因疫情反彈而延期舉行,當時已經有人猜測緊接於 7 月 24-27 日舉行的「香港動漫電玩節暨巨匠潮流藝術玩具展」會否也因而要押後甚至取消?果不其然,大會在黃昏發出通知,正式宣告動漫節押後的消息。

    屋企如狗竇網上會議唔敢見人? 宜家虛擬美圖背景幫到你

    疫情反彈,大家又要被迫回到居家工作、網上開會的狀態。不過,筆者自問家中如亂葬崗,要用視像開會實在不能示人。著名的傢俬品牌 IKEA 也深明大家的煩惱,剛推出一系列「 IKEN 虛擬美圖背景」,讓大家作為網上會議背景示人,順便也宣傳下他們的 2020 傢伙系列,一家便宜兩家著。

    【又一單】2020 香港高級視聽展宣布延期

    繼書展、電腦節宣布延期之後,原定於 8 月 7-9 日在香港灣仔會議展覽中心舉行的「 2020 香港高級視聽展」亦宣布延期。

    在香港多月來的抗爭運動中,多個網絡服務被質疑不當封鎖抗爭者的帳戶,又或者將資料交予中方。繼上星期 HKMap.live 被 App Store 下架之後, Apple 又再次被發現將 iPhone 及 iPad 用戶的 Safari 瀏覽資料傳送到與中國政府有密切關係的騰訊。
    有網民在 iOS 裝置 Safari 的「 Safari 與私隱政策」裡,發現有關「詐騙網站警告」中,由原本只傳送資料到「 Google 安全瀏覽」,加入「騰訊安全瀏覽」。據 Apple 的條款中指出:「這些安全瀏覽供應商也可能會紀錄你的 IP 地址」。

    在「設定」 App 點擊 Safari 一項;
    在「設定」 App 點擊 Safari 一項;

    在「私隱與保安」一節點擊「關於 Safari 與私隱政策」連結;
    在「私隱與保安」一節點擊「關於 Safari 與私隱政策」連結;

    在「詐騙網站警告」一節中清楚註明「會將從網站地址計算出來的資料送予『Google 安全瀏覽』和『騰訊安全瀏覽』」,而安全瀏覽供應商也可能會紀錄用戶的 IP 地址。
    在「詐騙網站警告」一節中清楚註明「會將從網站地址計算出來的資料送予『Google 安全瀏覽』和『騰訊安全瀏覽』」,而安全瀏覽供應商也可能會紀錄用戶的 IP 地址。

    據 Safari 的私隱政策中指傳送的是網址計算出來的資料,而並非直接傳輸網址。不過有用戶擔心,騰訊可以透過比對手上的網頁紀錄來得知用戶要瀏覽的網址,從而配對用戶 IP 追踪用戶。
    其實 Apple 引入「騰訊安全瀏覽」到 iOS 版 Safari 並非最近的事,據說早在今年 2 月的 iOS 12.2 beta 已經引入,而編輯部同事亦在 iOS 12.4.1 的 iPad 裡發現有關聲明。
    【下午 5:18 更新】有網友透過逆向工程檢查過有關詐騙網站警告,指出只有不能存取 Google 安全瀏覽的中國大陸用戶, 瀏覽資料才會傳送到騰訊安全瀏覽,而且騰訊安全瀏覽是採用與  Google 安全瀏覽相同的通訊協定。專門研究加密的約翰.霍普金斯大學教授 Matthew Green 詳細解釋了 Google 安全瀏覽的運作機制:

    1. Google 先計算不安全網站的網址成 SHA256 雜湊碼( Hash 又稱哈希值)存入資料庫,并將雜湊碼截斷成 32-bit 前綴來節省空間;
    2. Google 將前綴資料庫下載到用戶的瀏覽器;
    3. 每次用戶瀏覽時,瀏覽器會先計算網址的雜湊碼與存於本機的前綴資料庫作比對;
    4. 如果發現網址雜湊碼與本機前綴資料一致,就會將本機前綴送到 Google 伺服器,而 Google 伺服器就會將那個前綴碼的完整 256-bit 雜湊碼送回本機作完整比對。比對成功就代表用戶正打算瀏覽的是不安全網站。

    從上述的機制中我們可以看到,用戶瀏覽的網址並不會完整地送到伺服器去。

    有網友以逆向工程調查,得知 Safari 傳送不安全網站驗證資料時只會更換供應商網址,通訊協定無論 Google 或騰訊都一樣。
    網絡保安專家 Eric Romang 以逆向工程調查,得知 Safari 傳送不安全網站驗證資料時只會更換供應商網址,通訊協定無論 Google 或騰訊都一樣。

    有網民指只要將 iOS 版 Safari 的「詐騙網站警告」功能關閉,就可以防止瀏覽資料被傳送給騰訊。不過「詐騙網站警告」可以防止大家誤墮詐騙網站陷阱,和防止網站利用未知的瀏覽器漏洞入侵手機,所以關閉了「詐騙網站警告」風險更大,更容易受到駭客入侵。對於 Safari 仍有介心的用戶可以轉用 Google Chrome 。
    用戶雖然可以關閉「詐騙網站警告」來避免瀏覽資料被傳送到騰訊,不過風險更高。
    用戶雖然可以關閉「詐騙網站警告」來避免瀏覽資料被傳送到騰訊,不過風險更高。

    而在 macOS 方面,以筆者所用的 Safari 13.0.2 所見, macOS 版 Safari 仍然只使用「 Google 安全瀏覽」為安全瀏覽供應商。
    現時 macOS 版 Safari 仍然只使用 Google 安全瀏覽來驗證網站。
    現時 macOS 版 Safari 仍然只使用 Google 安全瀏覽來驗證網站。

    相關文章