Categories: 資訊保安

APPLE 官方回應 Safari 連接中國騰訊事件 懶人包問答

Published by
天恩

日前 Apple 手機作業系統 iOS 的 Safari 瀏覽器私隱政策被發現一句:「到訪網站前,Safari 可能會將網站地址計算出的資料傳送予『Google安全瀏覽』和『騰訊安全瀏覽』以檢查是否為詐騙網站。」的文字,引起公眾疑慮 Apple 是否會把用戶資料交予中國企業手中。而 Apple 對此事正式發表回應,指出「只有區域設定為中國大陸的設備將從騰訊接收詐騙網站列表」,並指「用戶到訪的網站的URL絕對不會傳送予安全瀏覽供應商」。

 

Apple 官方回應如下:

Apple通過Safari Fraudulent Website Warning(Safari詐騙網站警告)保護用戶隱私和數據,該功能可標記已被識辨的詐騙網站。啟用此功能後,Safari會根據已知詐騙網站列表檢查網站 URL,並當用戶到訪懷疑是詐騙網站的URL時對用戶顯示警告訊息。在這過程中,Safari會從Google接收了一個已識辨為詐騙網站的列表。區域設定為中國大陸的設備將從騰訊接收詐騙網站列表。用戶到訪的網站的URL絕對不會與傳送予安全瀏覽供應商,用戶亦可隨時自行關閉這項功能。

 

從官方回應中,可得知只有區域設定為中國大陸的手機才會連接騰訊接收詐騙網站列表,如地區設定為香港、台灣與其他國家地區,則只會傳送資料予 Google 的伺服器。

1. 為甚麼 Safari 要傳訊息去中國 Tencent 及 Google 伺服器?

這兩個伺服器都儲存了全球有害及釣魚網站的列表,為避免用家瀏覽時不慎到訪這些網站,每次登入任何網站前 Safari 都會將裝置目的 IP 地址與用家當前的網站 URL 字頭跟 Google 或 Tencent 傳過來的網絡例表作比對,確認安全後才會讓用家瀏覽。

 

2. 為甚麼要傳到中國 Tencent 伺服器?

只有中國的 Safari 用家才會使用 Tencent 伺服器才比對,其他國家及地區(香港/台灣) 都是使用 Google 的。小編估計 Apple 全球共用同一份 user agreement 文字上沒有刻意區分才令人產生誤會。這一方面有外國的程式開發員在檢視 code 時

被証實了。

 

3. 文件提及會傳送 IP 地址 是否有個人私隱問題

在比對過程中,由手機或裝置的 Safari 會發出用戶當前的 URL 開頭 (例如 : unwire.hk 會送出 un????? ) 給Google 或 Tencent 伺服器,然後會回傳一堆 un??????的網絡列表到用戶上,由該手機或裝置上作出比對,因此 Google 或 Tencent 是不知道你在詢問那個網址,只知道開頭的字母。而因為用家的 Safari 直接跟 Google 或 Tencent 溝通,所以伺服器端是知道用戶的 IP 地址,除非經過了 VPN。

 

4. 到底應否關閉「詐騙網站警告」功能?

經外國程式員查證如地區設定非為中國大陸的話,包含 IP 等資料就不會傳送到中國騰訊。Apple 極不建議用戶關閉 Safari 瀏覽器本身的「詐騙網站警告」功能,因為此功能是減少用家接觸釣魚網站的機會,如果關閉此功能,面對的網路安全風險可能會更大。

Published by
天恩