Tutorials Brawte nfaq 0 Comments

Appleは、非難されていない行為を一切行っていないと主張している。「SafariのURLをTencentに渡すのではなく、ユーザーのIPアドレスだけを渡している」

Table of Contents

Appleは、非難されていない行為を一切行っていないと主張している。「SafariのURLをTencentに渡すのではなく、ユーザーのIPアドレスだけを渡している」

Safari ブラウザの悪質なウェブサイトに対する防御機能により、一部のユーザーのデバイスの IP アドレスが中国に拠点を置く Tencent に漏洩する可能性があるという懸念に対し、Apple は、Safari ではユーザーが訪問するウェブページという別の情報は漏洩していないと主張している。

Appleは、中国のユーザーにVPN保護を拒否する可能性があり、香港の民主化デモ参加者に警察を回避するために使用するアプリを拒否する可能性があり、中国統治下の香港とマカオ向けのiOS 13のローカライズ版から台湾への言及を削除する可能性があります。

しかし、ウェブサイトの訪問情報はブラウザテレメトリを通じて当局に公開されていない。当局は、ISPやDNSを監視したり、中国共産党の「学習大国」のようなAndroidアプリ[PDF]にバックドアを仕掛けたりすることで、容易にウェブサイトの訪問情報を入手することができるという。

少なくとも2月以降、おそらくはそれ以上、Safariのセーフブラウジングフレームワークは、Googleセーフブラウジングデータベース、または中国本土のユーザーの場合はTencentのセーフブラウジングデータベースから、既知のマルウェアサイトのハッシュプレフィックスを受け取っています。

「ba7816bf」のような 32 ビットのハッシュ プレフィックスは、完全な URL の 256 ビット、64 文字の SHA256 ダイジェストの最初の 8 文字を表します。

Safari は、安全なブラウジング検索システムを実装している他のブラウザと同様に、要求された Web サイトを読み込む前に、アクセスする Web サイトの URL をハッシュし、そのハッシュ プレフィックスを悪意のあるサイトの受信したハッシュ セグメントと比較します。

一致した場合(ハッシュ プレフィックスは必ずしも一意ではないため、一致するものが複数ある可能性があります)、Safari は API プロバイダー(Google または Tencent)に、ハッシュ プレフィックスに一致するすべての URL を要求します。

取得したリストを使用して、Safariは意図したリンク先が悪質なウェブサイトのリストに一致するかどうかを判断します。必要に応じて警告を表示します。これは、デフォルトでオンになっている「詐欺ウェブサイトの警告」が、iOSまたはmacOSの適切な設定メニューで無効にされていない限り有効です。

ここには何もありません

Appleは、これは心配する必要はないと主張している。The Register(!)宛ての電子メールで、Appleの広報担当者は次のように述べている。

「Appleは、本質的に悪質であることが知られているウェブサイトにフラグを立てるセキュリティ機能であるSafariの詐欺ウェブサイト警告によって、ユーザーのプライバシーを保護し、データを保護します」とコメントしている。

この機能を有効にすると、SafariはウェブサイトのURLを既知のウェブサイトのリストと照合し、ユーザーがアクセスしたURLがフィッシングなどの不正行為の疑いがある場合に警告を表示します。この処理を実行するために、SafariはGoogleから悪質とされるウェブサイトのリストを受け取り、地域コードが中国本土に設定されているデバイスの場合はTencentからリストを受け取ります。

ティム・クック、写真2:JStone、Shutterstock経由

NBAとブリザードへの感動的な連帯を示すため、アップルは香港抗議アプリに関して中国に完全に屈した。

続きを読む

「アクセスしたウェブサイトの実際の URL は、セーフ ブラウジング プロバイダーと共有されることはなく、この機能はオフにすることができます。」

とはいえ、ユーザーのIPアドレスの問題は依然として残っており、テンセントは中国本土向けの設定がされたデバイスを使用しているユーザーについて、その情報を確認することになるでしょう。これはプライバシーに関する懸念事項ですが、ISP、アプリプロバイダー、クラウドサービスプロバイダーなど、他の中国のインターネット企業もこれらの情報を収集し、要求に応じて中国の監視国家に提供していると想定されることを考えると、これは数ある懸念事項の一つに過ぎません。

ジョンズ・ホプキンス大学情報セキュリティ研究所のコンピュータサイエンス准教授マシュー・グリーン氏は日曜日のブログ投稿で、Google のようなセーフブラウジング API には潜在的なプライバシー問題がいくつかあると指摘した。

同氏によると、プライバシー保護団体は、Google の Safe Browsing API に伴うプライバシーのトレードオフをほぼ受け入れており、セキュリティの向上はリスクに見合う価値があると考えているという。

「しかし、テンセントはグーグルではない」と彼は述べた。「テンセントはグーグルと同じくらい信頼できるかもしれないが、私たちはこうした変更について情報を得て、それについて判断する権利がある。少なくとも、アップルがこの機能を製品化して何百万人もの顧客に信頼を求める前に、ユーザーはこれらの変更について知るべきだ。」®

Tutorials

Smart Recommendations

Discover More