พบเบราว์เซอร์ Safari ส่งข้อมูลไปตรวจเว็บมุ่งร้ายกับ Tencent, นักวิจัยชี้แอปเปิลควรแจ้งผู้ใช้ให้ชัดเจนกว่านี้

2019-10-15

สัปดาห์ที่ผ่านมามีรายงานเป็นข่าวขึ้นมาว่าแอปเปิลเริ่มความร่วมมือกับ Tencent เพื่อใช้บริการ Tencent Safe Browsing เพิ่มเติม จากเดิมที่ใช้งานเฉพาะ Google Safe Browsing เท่านั้น โดยจะใช้บริการจาก Tencent เมื่อผู้ใช้เลือกใช้ภาษาจีน

ความกังวลเกิดขึ้นเนื่องจากบริการนี้ทำให้ Tencent อาจรู้ถึง URL ที่ผู้ใช้กำลังเข้าใช้งานอยู่ เปิดทางทั้งการตรวจสอบว่ามีผู้ใช้ใดกำลังเข้าเว็บต้องห้าม และสามารถบล็อคเว็บในระดับ URL โดยแจ้งว่าเป็นเว็บต้องสงสัยได้ไปพร้อมกัน

API ของการตรวจสอบ URL มุ่งร้ายนั้นมีมาตรการปกป้องความเป็นส่วนตัวของผู้ใช้อยู่แล้ว โดยเบราว์เซอร์จะไม่ได้ส่ง URL ออกไปตรงๆ แต่ใช้การดาวน์โหลดฐานข้อมูลค่าแฮชของ URL เฉพาะ 32 บิตแรกมาเก็บไว้ในเบราว์เซอร์ เมื่อค่าแฮชของ URL 32 บิตแรกตรงกับฐานข้อมูล เบราว์เซอร์จะส่งค่าแฮชนั้นไปยังเซิร์ฟเวอร์เพื่อขอรายการค่าแฮชของ URL ทั้งหมดที่ 32 บิตแรกตรงกัน เพื่อมาตรวจกับ URL ที่กำลังเข้าเว็บว่าเป็นเว็บมุ่งร้ายหรือไม่ กระบวนการนี้ทำให้เซิร์ฟเวอร์ไม่เคยได้รับ URL (หรือค่าแฮชของ URL) เต็มๆ

แม้จะมีกระบวนการรักษาความเป็นส่วนตัว แต่กระบวนการนี้ก็ไม่เคยรักษาข้อมูลได้เต็มร้อย มีความเสี่ยงอยู่ที่ผู้ให้บริการจะสามารถติดตามผู้ใช้ว่ามีพฤติกรรมเข้าเว็บกลุ่มใดได้บางระดับ

Matthew Green นักวิจัยด้านวิทยาการเข้ารหัสลับชี้ว่าแอปเปิลควรแสดงความเปลี่ยนแปลงนี้ให้ผู้ใช้เห็นชัดเจนกว่านี้ เช่นเดียวกับการวางมาตรการใหม่ๆ เช่น Find My ที่เป็นส่วนหนึ่งของคีย์โน้ตงาน WWDC ปีนี้ และที่ผ่านมาพอเป็นเรื่องเกี่ยวกับจีนแอปเปิลมักไม่สื่อสารให้ชัดเจน เช่น ทุกวันนี้ที่ผู้ใช้ไอโฟนในจีนต้องเก็บข้อมูลไว้ในเซิร์ฟเวอร์ในจีนแอปเปิลก็ไม่เคยสื่อสารออกมาว่ากุญแจเข้ารหัสเซิร์ฟเวอร์ถูกดูแลโดยบริษัทดูแลเซิร์ฟเวอร์ในจีนด้วยหรือไม่

แอปเปิลส่งแถลงการณ์ไปยังสื่อยืนยันว่า Safari ไม่เคยส่ง URL ตรงๆ ไปยังเซิร์ฟเวอร์ผู้ให้บริการตรวจสอบ URL และจะส่งข้อมูลไปยัง Tencent เมื่อเครื่องมี “region code” เป็นจีนเท่านั้น

บริการตรวจสอบ URL นี้สามารถปิดทิ้งได้ ทางตัวเลือก Settings > Fraudulent Website Warning แต่ไม่มีตัวเลือกเซิร์ฟเวอร์โดยตรง

ที่มา – Reclaim The Net, Matthew Green, MacRumors

No Description

Topics: