Safaris safe-search sender dine data til både Google og Kina

Illustration: PixieMe, BigStock
Udadtil lover Apple at beskytte dit privatliv, når du bruger deres Safari-browser, men når man læser det med småt, havner dine data i både Googles og kinesiske Tencents databaser.

Opdatering: Apple har efter artiklens udgivelse forklaret, at de ikke sender dine URLs, men kun din IP-adresse

Glem alt om at holde noget hemmeligt i Apples mobilbrowser. Brugere, der benytter Safe-search i Safari, får nemlig sendt deres IP-forespørgsler forbi både Google og kinesiske Tencent, der har ret til at logge forespørgslen.

Det skriver Reclaim the net, der især ser problemer i samarbejdet med Tencent, da den kinesiske virksomhed arbejder tæt sammen med den kinesiske regering og bl.a. har gennemført omfattende censur på nettet.

Når man kigger under Safaris privatlivsindstillinger på engelsk, møder man en dialogboks, der forklarer:

»Before visiting a website, Safari may send information calculated from the website address to Google Safe Browsing and Tencent Safe Browsing to check if the website is fraudulent. These safe browsing providers may also log your IP address.«

Safe-search-funktionen er ellers bragt i verden for bl.a. at minimere, hvor meget data der kan indsamles om brugeren, og mens den givetvis stadig reducerer den totale mængde, så er det ikke nødvendigvis Google og Tencent, man forventer fortsat bliver fodret vores IP-historik.

Matthew Green, der underviser i kryptografi ved det amerikanske Johns Hopkins-universitet, har lavet en blog om denne problemstilling. Green skriver følgende på Twitter om situationen.

Hvad værre er, ser det ud til, at det ikke er nyt, men faktisk har stået på i årevis, og der er på nuværende tidspunkt ikke et klart billede af, hvor længe videregivelsen af informationer præcist har foregået.

Læs også: Efter kinesisk pres: Apple fjerner app, der bruges i Hongkong-demoer

Læs også: Medier: Kina udnyttede iOS-sårbarheder til at spionere

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mads T. Jensen

Ja, okay - men hvordan havde man forestillet sig at Apple skulle have en state of the art "safe search" uden brug af eksterne partnere til at formidle og administrere det? Og er klagen her, ikke lidt som at komme hjem til at hus ens teeenagebørn har brugt til fest i weekenden, totalt rent og så klage over der er støv på fjernsynet? Vi snakker /ENORME/ mængder data der før blev leaket - som nu er forvandlet til to enkelte opslag i stedet. Og det er endda udpenslet i privacy-informationen, hvor problemet fortsat ligger. Altså.. .. hvad er problemet ?

Og ja, hvis man forventer at det var 100% styret på ens device, efter man havde læst Privacy-teksten, så kan jeg godt se det er et problem.. men det er nok mere med ens egen forståelsesevne, end med den service Apple tilbyder her.

  • 2
  • 5
Sune Marcher

Safe Browsing fungerer ved at der bliver vedligeholdt en database med hashes af skumle URL'er (ikke blot domænet). For at minimere privacy-problemer, bliver databasen distribueret distribueret sammen med browseren...

Eller, ikke helt. Der er meget snavs på nettet, så databasen er for stor til at distriubere til alle. I stedet distribueres en prefix-begrænset version af databasen (lidt ligesom haveibeenpwned k-anonymity). Hvis en URL givet hit i den prefix-begrænsede database, sendes forespørgsel videre til internet servicen.

Det er for så vidt et OK kompromis mellem privacy og at give sikkerhed til slutbrugerne, men der er alligevel nogle problemer. For det første introducerer Apple de her features uden at lave fornuftige offentlige udmeldinger. Derudover er det ikke helt klart hvad der styrer om Google (onde USA) eller Tencent (onde Kina) bliver brugt som backend. Og sidst, men ikke mindst, er det vist heller ikke helt at gennemskue hvilke domæne-hashes den prefix-begrænsede database indeholder.

Med et stort datasæt kan man gradvist deanonymisere folk. Og man skal være ualmindeligt blåøjet, hvis man ikke tror Apple er til fals for store nok mængde ¥¥¥ til at inkludere statsfjendtlige URL'er i databasen.

  • 1
  • 0
Sune Højfeldt

"Glem alt om at holde noget hemmeligt i Apples mobilbrowser. Brugere, der benytter Safe-search i Safari, får nemlig sendt deres IP-forespørgsler forbi både Google og kinesiske Tencent, der har ret til at logge forespørgslen."

Har Apple nogensinde påstået at det var "safe" i betydningen "privat"/"anonym"? Eller er det bare nogen som har læst alt for meget ind i den betegnelse?

Google: "Google Safe Browsing helps protect over four billion devices every day by showing warnings to users when they attempt to navigate to dangerous sites or download dangerous files."

https://safebrowsing.google.com/

Det handler udelukkende om indhold, ikke om beskyttelse af privatliv.

  • 0
  • 0
Log ind eller Opret konto for at kommentere