Apple reageert op ophef over gebruik Tencent Safe Browsing
Een beveiligingsmaatregel in Safari die onder andere het ip-adres van gebruikers naar de Chinese internetgigant Tencent kan sturen wordt alleen gebruikt als iOS-gebruikers China als land hebben ingesteld. Zo reageert Apple op de ophef die ontstond over het gebruik van Tencent Safe Browsing.
Om Safari-gebruikers tegen bekende malafide websites te beschermen maakt de browser al lange tijd gebruik van Google Safe Browsing. Hierbij wordt een database met ingekorte hashes (prefixes) van bekende malafide websites lokaal op de computer opgeslagen. Zodra de gebruiker een website bezoekt kijkt de browser in deze lokale database of het om een bekende malafide website gaat. De browser maakt hiervoor een hash van de url van de bezochte website en vergelijkt die met de aanwezige prefixes.
Wanneer er een hit is stuurt de browser de prefix naar de servers van Google, die dan een lijst met volledige hashes van overeenkomstige url's terugsturen, zodat de browser naar een exacte match kan zoeken. Bij het versturen van de prefix krijgt Google het ip-adres van de gebruiker te zien, en mogelijk ook andere identificerende informatie, zoals de staat van de lokale database.
Onlangs bleek dat Apple in de voorwaarden had vermeld dat het ook van Tencent Safe Browsing gebruikmaakt. Bij het gebruik van Safe Browsing kan het ip-adres van gebruikers naar Google en Tencent worden gestuurd. Dit zorgde voor een golf van kritiek omdat Apple op deze manier gebruikersdata met Tencent zou delen en dat het dit niet duidelijk aan gebruikers had gecommuniceerd.
Apple is nu tegenover iMore met een reactie gekomen waarin het laat weten dat het alleen voor iOS-toestellen die China als land hebben ingesteld een lijst met bekende malafide websites van Tencent ontvangt. Tevens claimt Apple dat de volledige url van de website nooit met Google of Tencent wordt gedeeld en dat gebruikers de feature kunnen uitschakelen.
Volgens Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, lijkt de uitleg van Apple onvolledig. Eerder uitte Green al kritiek op het gebruik van Safe Browsing, dat de privacy van gebruikers niet goed zou beschermen. "De doorsnee gebruiker bezoekt niet één website, maar duizenden. Dit houdt in dat een kwaadaardige provider allerlei kleine stukjes ontvangt om die gebruiker te deanonimiseren. Een gebruiker die veel gerelateerde websites bezoekt zal geleidelijk details over zijn browsegedrag aan de provider lekken, ervan uitgaande dat de provider kwaadaardig is en de verzoeken kan koppelen", aldus de hoogleraar.
Met dat verschil dat Apple pretendeert privacy zeer hoog in het vaandel te hebben staan. Nu denk ik nog steeds wel dat Apple beter met je privacy omgaat dan bedrijven als Google, Facebook, Amazon, Microsoft en noem maar op maar er beginnen wel scheurtjes te ontstaan in de privacy bescherming getuige ook dat voorval laatst met Siri.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
