نگاهی به جنجال نقض حریم شخصی کاربران آیفون در مرورگر سافاری

دیروز گزارشی منتشر شد که از ارسال داده های کاربران مرورگر سافاری به شرکت چینی تنسنت (Tencent) خبر می داد. این خبر سبب شوکه شدن کاربران مرورگر سافاری شد. در این نوشتار این مسئله و همچنین نقش اپل در این موضوع بررسی می شود.

مشکل به قابلیت امنیتی مرورگر سافاری به نام «Fraudulent Website Warning» بر می گردد که کاربران را پیش از بازدید از سایت های فیشینگ و مخرب مطلع می کند. سافاری برای شناسایی سایت های مخرب ترافیک کاربران را با یک لیست سیاه خارجی تطبیق می دهد. این روش شناسایی در گذشته توسط برنامه Safe Browsing گوگل برای شناسایی سایت های مخرب به کار می رفت و حالا توسط اپل هم استفاده می شود.

لیست های سیاه کاربرد خوبی برای مطلع کردن کاربر از سایت های مخرب دارند اما روی کاغذ می توان از آنها برای رصد فعالیت کاربران نیز استفاده کرد. در بدترین حالت مرورگر می تواند مستقیماً هر لینکی که کاربر روی آن کلیک می کند را با لیست سیاه تطبیق دهد. با این کار یک لاگ مفصل از فعالیت های اینترنتی کاربر ایجاد می شود.

تا کنون رصد فعالیت های اینترنتی کاربران توسط مرورگر سافاری اثبات نشده، ولی شراکت اپل با شرکت چینی تنسنت گمانه زنی هایی را در مورد سوءاستفاده کمپانی کوپرتینویی و شرکت چینی از این سیستم به وجود آورده است. شرکت تنسنت صاحب چندین اپلیکیشن از جمله پیام رسان WeChat و مرورگر QQ بوده و با اعمال فیلتر در آنها داده های کاربران را نیز در اختیار دولت چین گذاشته است.

اپل با انتشار بیانیه ای ضمن رد کردن سوءاستفاده گوگل و کمپانی تنسنت از فعالیت های اینترنتی کاربران می گوید که این شرکت به کمک ابزار Safari Fraudulent Website Warning از حریم شخصی و داده های کاربران حفاظت می کند.

اپل در بیانیه خود اعلام می کند که قابلیت مذکور URL سایت مد نظر را با لیست سیاه سایت های مشکوک تطبیق می دهد. مرورگر سافاری برای این کار لیست سایت های مخرب را از گوگل گرفته و برای شناسایی دیوایس های چینی نیز لیستی از شرکت تنسنت دریافت می کند. اپل تاکید کرده که URL اصلی سایت را هیچ گاه با ابزار Safe Browsing به اشتراک نگذاشته و کاربران می توانند این قابلیت را غیرفعال کنند.

شرکت اپل با تشریح بیشتر کارکرد سیستم فوق به سایت ZDNet می گوید گوگل و تنسنت «کپی دیتابیس را به مرورگر کاربر ارسال کرده و به آن اجازه می دهند تا URL را با یک دیتابیس محلی تطبیق دهد.»؛ بنابراین ترافیک هیچ وقت به شرکت های مذکور ارسال نخواهد شد. کمپانی کوپرتینویی اعلام می کند که لیست سیاه شرکت تنسنت فقط داخل مرزهای چین استفاده می شود که دامنه های گوگل در آنجا اجازه فعالیت ندارند.

«متیو گرین»، رمزنگار و استاد دانشگاه جانز هاپکینز اما عقیده دیگری در مورد سیستم Safe Browsing دارد. او معتقد است گوگل روی یک سیستم فعل و انفعالی بین لیست سایت ها و مرورگر سافاری وابسته است. به عبارت دیگر گوگل هر کدام از URLهای نامطمئن را به یک کد تبدیل کرده و سپس اولین قسمت از این کدها به نام «prefixes» را به مرورگر سافاری می فرستد.

زمانی که کاربر از صفحه ای دیدن می کند، مرورگر سافاری URL را هش کرده و اولین قسمت آن را با لیست سیاه تطبیق می دهد. در صورتی که URL با سایتی در لیست سیاه تطابق داشته باشد، مرورگر تمام هش هایی که شامل prefix می شوند را از گوگل درخواست می کند و در صورتی که مورد مشابهی پیدا شود، سایت به عنوان سایت مخرب شناسایی می شود.

توضیحات فوق یعنی گوگل هیچ گاه توانایی مشاهده هش URL به شکل کامل را نداشته و در بسیاری از موارد هیچ اطلاعاتی دریافت نمی کند. اما زمانی که سافاری با تطبیق prefix با لیست سیاه به سایت مخربی برخورد کند، آدرس IP کاربر و همچنین هش ناقص صفحه ای که کاربر در حال بازدید از آن است را آشکار می کند.

اگر سایتی همانند گوگل که ارائه دهنده لیست سیاه است، کار خود را در حفاظت از حریم شخصی کاربران به خوبی انجام دهد، مشکلی نخواهد بود. اما به عقیده «گرین» همین قطعات کوچک اطلاعات نیز می توانند هویت کاربر را مخدوش کرده و مشکل زمانی به وجود خواهد آمد که ارائه دهنده سرویس Safe Browsing به طور فعالانه به رصد فعالیت های کاربران می پردازد.

«گرین» در مورد شرکت تنسنت قضاوتی نمی کند ولی می گوید این شرکت ممکن است فعالیت های کاربران را رصد کرده باشد. او معتقد است شرکت اپل باید شفافیت بیشتری را در مورد همکاری با شرکت تنسنت نشان می داد. البته می توان از این اشتباه کوچک چشم پوشی کرد؛ چون تعداد زیادی از شرکت های آمریکایی با این شرکت چینی همکاری می کنند.

شرکت تنسنت فروردین ماه 96 پنج درصد از سهام شرکت تسلا را خرید و اول آذر ماه سال 96 نیز به اولین شرکت آسیایی 500 میلیارد دلاری تبدیل شد. این شرکت سال گذشته میلادی نیز سرمایه گذاری 150 میلیون دلاری در ردیت کرد و با بسیاری از شرکت های بازی سازی آمریکایی هم همکاری می کند.

با اینکه دولت چین سابقه خوبی در حفاظت از حریم شخصی کاربران با جاسوسی از 100 میلیون گوشی اندرویدی و همچنین نصب نرم افزار جاسوسی روی گوشی توریست ها، ندارد اما شرکت های فناوری آمریکایی نیز از دیرباز با درخواست های دولت آمریکا برای نظارت بر کاربران مشکل داشته اند.

خبر همکاری شرکت اپل با کمپانی چینی تنسنت به دلیل امتیازاتی که کمپانی کوپرتینویی به دولت چین داده سر و صدا کرده است. این شرکت فوریه سال گذشته میلادی با وجود نگرانی ها از احتمال دخالت دولت چین، به شکل رسمی فعالیت های چینی سرویس iCloud و همچنین کلیدهای رمزگذاری شده آنرا به چین منتقل کرد.

کمپانی اپل اخیراً نیز اپلیکیشن ردیابی پلیس در هنگ کنگ را از اپ استور حذف کرد و ایموجی پرچم تایوان را نیز برای کاربران هنگ کنگ و ماکائو برداشت. این شرکت اپ خبر رسانی Quartz را نیز که اخبار هنگ کنگ را پوشش می داد از اپ استور چین حذف کرد.

موضوع بحث برانگیز این است که کمپانی کوپرتینویی همواره روی حفاظت از حریم شخصی کاربرانش تاکید ویژه ای کرده و از این لحاظ خود را برتر از شرکت های دیگر معرفی کرده است؛ اما فعالیت های این شرکت در چین خلاف این ادعاها را نشان می دهند.