暂无图片
暂无图片
暂无图片
暂无图片
暂无图片

苹果否认向腾讯泄露隐私数据,密码学家 Matthew Green 提出质疑

一叶扁舟 2019-10-15
716

本周,彭博社报道称,苹果公司正在将 iOS 用户数据发送给中国公司腾讯。作为一家以维护用户隐私作为产品卖点的企业来说,这似乎是一则骇人的丑闻。15 日凌晨,苹果公司向媒体做出了回复,表示这种说法并不属实。

包括彭博社在内的数家媒体指出,大约两年来,苹果一直将数据发送给腾讯,是因为 iPhone 和 iPad 有一项安全功能,会在用户加载网站之前警告用户网站是恶意的或是不安全的。苹果判断网站是否安全的标准是根据已知存在问题的站点列表检查地址,而该列表由腾讯和 Google 提供,前者由中国大陆用户组成,后者由世界其他地区用户组成。

157111699017936200_a640x364.jpg

15 日凌晨,苹果在一则回复中写道:

苹果通过“Safari 欺诈性网站警告”保护用户隐私和数据,这是一种可标记已知恶意网站的安全功能。启用此功能后,Safari 会对照已知网站列表检查网站的 URL,并在用户访问的 URL 被怀疑存在网络钓鱼等欺诈行为时显示警告。

为了完成这项任务,Safari 会收到来自 Google 的已知恶意网站列表,对于区域代码设置为中国大陆的设备,则会收到来自腾讯的列表。您访问的网站的实际 URL 永远不会与安全浏览提供商共享,您也可以关闭该功能。


但是,约翰霍普金斯大学的密码学家 Matthew Green 提出了新的问题。

首先Matthew Green 分析了苹果关于恶意网站的标记流程:Google 将每个不安全的 URL 哈希化为不明确标识的代码,然后将这些哈希值的第一部分发送给 Safari,称为“前缀”。当用户访问网页时,Safari 会对其 URL 哈希化并检查前缀清单。如果匹配,Safari 会询问 Google 包含该前缀的所有哈希值。接下来,Google 提供这些内容,Safari 浏览器再检查较小的列表是否完全匹配。如果找到该页面,则标记该页面。

Matthew Green 分析称,这意味着 Google 永远不会看到完整的 URL 哈希值,在大多数情况下,它根本不会获得任何信息。但是,当 Safari 找到匹配的前缀并要求 Google 提供更多的哈希值时,它就会显示用户的 IP 地址以及他们所访问页面的部分哈希值。如此积少成多仍然有侵蚀用户隐私的嫌疑。

「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论