For å undersøke om nettsidene du besøker er skadelig eller ikke, benytter Safari seg av funksjonen «Fraudulent Website Warning». Dette gjelder for Safari i både iOS og macOS.
Oppdatert, 19:25:
Apple forklarer nå at det er kun maskiner med regionen satt til Kina som bruker Tencents sikkerhetssjekk ved bruk av Safari. Selskapet påpeker at ingen URL-er deles og at systemet er begrenset til fastlands-Kina.
Dette ser ut til å samsvare med kodefunn:
Annonse
Dette forklarer Apple
“Apple beskytter brukernes personvern og dataene dine med “Safari Fraudulent Website Warning”, en sikkerhetsfunksjon som flagger nettsteder som er kjent for å være skadelige. Når funksjonen er aktivert, sjekker Safari nettadressen til nettsiden mot lister over kjente nettsteder og viser en advarsel hvis nettadressen brukeren besøker er mistenkt for uredelig oppførsel som phishing.
For å utføre denne oppgaven mottar Safari en liste over nettsteder som er kjent for å være ondsinnet fra Google, og for enheter med regionkoden satt til fastlands-Kina, mottar den en liste fra Tencent. Den faktiske nettadressen til et nettsted du besøker blir aldri delt med en sikker nettleserleverandør, og funksjonen kan slås av.”
Tencent kan loggføre IP-adressen din
Funksjonen bruker Googles svartelistetjeneste «Trygg surfing», som inneholder lister over URL-er som kan være en trussel mot sikkerheten din. Ved å sende nettleserdata til Googles servere skal altså din egen trygghet økes.
Men det mange ikke vet er at Safari også deler nettleserdataene med Tencent, et av Kinas største selskaper. Tencent kan også innhente IP-adressen din, ifølge Apple.
Det kan man selv lese hvis man graver seg dypt ned i Safaris personvern-informasjon:
– Funksjonen ser ut til å være skrudd på som standard i Safari på iOS, noe som betyr at potensielt millioner av brukere kan være berørt, sier kryptografi-prosessoren Matthew Green ved John Hopkins-universitetet.
Tette bånd til kinesiske myndigheter
Safe Browsing-mekanismen er for så vidt ikke noe bare Apple bruker. De største nettleserne benytter seg av svartelister for å verne om brukernes sikkerhet. Microsoft gjør det samme via verktøyet «Smart Screening», som er innebygd i Internet Explorer Edge og Outlook.
Men i denne saken handler bekymringen om at Tencent får tilgang til nettleserdataene. Bekymringen er knyttet til Tencents nære bånd til kinesiske myndigheter og hvorvidt myndighetene kan få tilgang til dataene hvis de ber om det.
Gjaldt først kun brukere i Kina
Apple integrerte Tencent Safe Browsing i Safari for kinesiske brukere etter WWDC i 2017. Men nå ser det altså ut til at funksjonen er rullet ut til brukere utenfor Kina også.
– Selv om de (Tencent) kan være like pålitelige, fortjener vi å bli informert om denne typen endringer og bli gitt et valg. I det minste burde brukerne få vite om disse endringene før Apple aktiverer funksjonen, for deretter å be millioner av kunder om å stole på dem, sier Green.
Kilde:
Engadget
Matthew Green
Annonse
