Appleの次期iOS 14.5リリース(現在ベータ版)では、詐欺サイトを見つけるためにSafariに統合されているGoogleのセーフブラウジングサービスから、SafariウェブサーファーのIPアドレスが隠されるようになる。
水曜日、AppleのWebKitエンジニアリング責任者であるMaciej Stachowiak氏はTwitterでこの変更を確認し、「新しいiOSベータ版では、Safariは確かに情報漏洩のリスクを制限するためにAppleサーバー経由でサービスをプロキシする」と述べた。
つまり、Safariユーザーがセーフブラウジングが有効になっているウェブサイトにアクセスすると、そのIPアドレスはインターネットサービスプロバイダや企業ネットワークではなく、Appleドメインに関連付けられます。通常、Googleはセーフブラウジング対応アプリケーションを使用しているユーザーから、使用されているAPIに応じてこの情報にアクセスできますが、モバイルSafariユーザーについてはアクセスできなくなります。
これはプライバシーの向上と言えるでしょう。以前公開された「App Tracking Transparency(アプリ追跡の透明性)」や「アプリのプライバシーラベル」と並んで、iOS 14 のプライバシー強化に新たな一歩を踏み出したことになります。
しかし、あまり興奮しすぎないでください。Googleは依然として、広告、ウェブトラッキングウィジェット、スクリプト、認証トークン、検索、アプリケーションなどを通じて、大量のオンラインデータにアクセスしています。AppleがBingを自社のすべてのソフトウェアとハードウェアのデフォルト検索エンジンにしたわけではありません。
これは、App Tracking Transparencyがデジタル広告業界に対して行ったようなプライバシーへの攻撃とは異なります。The Registerは、この変更はGoogleとAppleが調整したもので、サービスの有効性に変化はないと理解しています。
また、IP プライバシーがセーフ ブラウジングを有効にすることを正当化するのに十分であるかどうかも明らかではありません。セーフ ブラウジングは、モバイル Safari ユーザーがブラウザの設定メニューの「詐欺 Web サイトの警告」ボタンから実行できます。
ほとんどのものに安全
Googleのセーフブラウジングサービスは、Googleの検索インデックスに登録されているウェブサイトが過去に悪質と判定されたかどうかをアプリケーションが確認できる手段を提供しています。ジョンズ・ホプキンス大学のコンピュータサイエンス准教授、マシュー・グリーン氏が2019年のブログ記事で述べたように、初期の形態では「一種のプライバシーの悪夢」でした。当初、このサービスはブラウザユーザーのIPアドレスとアクセスしたURL全体を送信し、トラッキングCookieを設定していました。
セーフ ブラウジング API はそれ以来改善され、URL を公開するルックアップ API の代替手段が追加されました。Update API を使用すると、クライアント ソフトウェア (Safari など) は、不正な URL から派生した SHA256 ハッシュ (256 ビット) の 32 ビット プレフィックスの暗号化されたセーフ ブラウジング リストをダウンロードして、ユーザーがアクセスしようとしている URL の 32 ビット ハッシュ プレフィックスと照合できます。
Appleのプライバシー対策について非常に悪いニュースがあります。GoogleがiOSアプリ開発者に伝えたところによると、Googleの広告収入に悪影響が出るとのことです。
続きを読む
その後、一致するものがある場合(複数の完全なハッシュに該当する可能性があります)、ブラウザは一致したプレフィックスを Google のサーバーに送信します。サーバーは、一致したプレフィックスを含む SHA256 ハッシュのリストを返します。このリストは、要求された URL の完全なハッシュに対してテストされます。
「問題は、セーフブラウジングの『Update API』が決して『安全』だったわけではないということです」とグリーン氏はブログ記事で述べている。「その目的は、ユーザーに完全なプライバシーを提供することではなく、プロバイダーが収集するブラウジングデータの質を低下させることでした。」
他のセキュリティ研究者も同様の懸念を表明しており、API のアプローチ ( k-匿名性と呼ばれる技術) は破られる可能性があると指摘しています。
グリーン氏は、プライバシーコミュニティはトレードオフを受け入れており、詐欺や悪質なウェブサイトへの潜在的な露出を減らすことと引き換えに、セーフブラウジングを実装および使用している人々からグーグルがより多くの情報を収集できる可能性があると述べた。
しかし、政治的発言の制限によりプライバシーリスクが拡大している中国では、アップルが2019年にテンセントにも同じ情報を送っていたと暴露したことについては楽観視していない。
AppleはmacOS Safariのヘルプドキュメントで、「ウェブサイトにアクセスする前に、Safariはウェブサイトのアドレスから計算された情報をGoogleセーフブラウジングに送信し、そのウェブサイトが不正なものかどうかをチェックすることがあります。システム環境設定の「言語と地域」パネルで地域を中国本土に設定している場合、SafariはTencentセーフブラウジングを使用してこのチェックを行うこともあります」と説明しています。
グリーン氏はThe Registerへの電子メールで、Appleの気まぐれな情報開示とコミュニケーションの習慣に対する過去の批判には触れていないものの、iOS 14.5の変更について慎重ながらも楽観的な見方を示した。
「プロキシは、これらのクエリを解決する中国のサービスから IP アドレスを隠すため、間違いなく改善です」とグリーン氏は述べた。
「これで問題が完全に解決するかどうかは分かりませんし、検討が必要です。しかし、良いスタートです。また、Appleがこの情報を価値あるものと捉えていることを示しています。彼らが1年以上も前からこの情報を公開してきたことを考えると、これは重要なポイントです。」®
