بیانیه اپل در واکنش به گزارش‌ اخیر درباره مرورگر سافاری

متیو گرین، از محققان حوزه‌ی رمزنگاری، شب گذشته با انتشار گزارشی مهم مدعی شد اپل داده‌های مربوط به وب‌گردی کاربران مرورگر سافاری را دراختیار شرکت چینی تنسنت قرار می‌دهد که ارتباطات تنگاتنگی با دولت چین دارد. انتشار این خبر موجی از نگرانی‌ها را درباره‌ی نقض حریم خصوصی کاربران گوشی‌های آیفون به‌همراه داشت. در پی این اتفاق، اپل ساعاتی پیش بیانیه‌ای رسمی منتشر کرد و به کاربران اطمینان داد URLهای واقعی سایت‌هایی که از آن‌ها بازدید کرده‌اند، با شرکت‌های متفرقه (ترد پارتی) به‌اشتراک گذاشته نمی‌شود.

اپل پیش‌تر به‌منظور حفاظت از کاربران مرورگر سافاری دربرابر وب‌سایت‌های جعلی، تنها از پروتکل ویژه‌ی گوگل به‌نام Google Safe Browsing استفاده می‌کرد؛ اما اهالی کوپرتینو در iOS 13 و البته مک OS کاتالینا تصمیم گرفتند درکنار استفاده از پروتکل گوگل، از پروتکل ویژه‌ی شرکت تنسنت با نام Tencent Safe Browsing نیز بهره بگیرند. اپل چنین تصمیمی را به این دلیل اتخاذ کرده است که مرورگر سافاری قوانین و مقررات وضع‌شده‌ی چین را نیز رعایت کند.

متیو گرین در گزارشش مدعی شده بود:

قبل از مراجعه به وب‌سایتی خاص، سافاری ممکن است اطلاعات به‌دست‌آمده از آدرس این وب‌سایت را به پروتکل‌های Google Safe Browsing و Tencent Safe Browsing بفرستد تا بررسی کند که آیا این وب‌سایت‌، وب‌سایتی جعلی و تقلبی است یا خیر. دو پروتکل امنیتی یادشده برای جست‌و‌جوی امن در فضای وب، ممکن است حتی به آدرس IP شما نیز دسترسی داشته باشند.

در گزارش متیو گرین آمده بود امکان دسترسی دو پروتکل گوگل و تنسنت به آدرس IP کاربر وجود دارد و همین موضوع باعث شد کاربران مرورگر سافاری به‌شدت نگران شوند. درواقع، گرین گفته بود شرکت‌های ترد پارتی نظیر گوگل و تنسنت می‌توانند ضمن دانستن آدرس IP کاربر، بفهمند او در حال بازدید از چه صفحاتی در دنیای وب است؛ موضوعی که به‌وضوح حریم خصوصی کاربر را نقض می‌کند.

بلومبرگ در گزارشی جداگانه گفته بود:

متیو گرین، از محققان حوزه‌ی رمزنگاری و پروفسور دانشگاه جانز هاپکینز، می‌گوید این موضوع، موضوعی مشکل‌ساز است؛ زیرا به‌واسطه‌ی این اتفاق، هم صفحه‌ی وبی که در حال تلاش برای بازدید از آن هستید و هم آدرس آی‌پی‌تان ممکن است برای شرکت‌های متفرقه رؤیت‌شدنی باشند. حتی امکان اضافه‌شدن کوکی‌های خاصی نیز به دستگاهتان وجود دارد که می‌تواند به ساختن پروفایل خاصی برای شخصِ شما منجر شود؛ پروفایلی که رفتارهای شما را در دنیای وب دربرمی‌گیرد.

هنگام انتشار خبر اصلی، برخی افراد مدعی شده بودند داده‌های کاربران آمریکایی از همین طریق دراختیار شرکت چینی تنسنت قرار می‌گیرند و باعث بروز نگرانی‌هایی شده بودند،‌ اپل این موضوع را نیز شفاف‌سازی کرده است. اپل به‌وضوح می‌گوید از تنسنت، تنها به‌عنوان پروتکل ارائه‌دهنده‌ی جست‌و‌جوی امن در فضای وب استفاده می‌کند؛ آن‌هم نه برای همه‌ی کاربران. درواقع، فقط برای کاربرانی که دستگاهشان کد منطقه‌ای کشور چین را داشته باشد، از پروتکل تنسنت استفاده می‌شود.

اپل در بیانیه‌ای که دراختیار وب‌سایت بلومبرگ قرار داده، می‌گوید:

اپل از حریم خصوصی کاربر محافظت می‌کند و ازطریق قابلیت Fraudulent Website Warning (اخطار وب‌سایت‌های جعلی) مرورگر سافاری، داده‌های شما را به‌شکلی امن نگه‌داری می‌کند. Fraudulent Website Warning قابلیتی امنیتی است که وب‌سایت‌هایی را پیدا و نشانه‌گذاری می‌کند که به‌طور طبیعی به‌عنوان وب‌سایت مخرب شناسایی می‌شوند. درواقع، سافاری فهرستی شامل وب‌سایت‌هایی را در خود دارد که به‌عنوان وب‌سایت‌های مخرب شناخته‌شده‌اند.وقتی این قابلیت فعال باشد، سافاری URL آن وب‌سایت را با وب‌سایت‌های مخرب شناخته‌شده مقایسه می‌کند و اگر تشخیص دهد آدرس‌هایی که کاربر از آن بازدید می‌کند، به مواردی نظیر محتوایی جعلی و کلاه‌بردارانه مثل فیشینگ مشکوک است، اخطاری روی صفحه ظاهر می‌کند. سافاری برای انجام این کار، فهرستی از وب‌سایت‌های مخرب را از گوگل دریافت می‌کند. به‌علاوه، این فهرست برای دستگاه‌هایی ازطریق تنسنت ارسال می‌شود که کد منطقه‌ای آن‌ها برای کشور چین ثبت شده باشد. URL واقعی وب‌سایتی که در حال بازدید از آن هستید، هیچ‌گاه با ارائه‌دهندگان پروتکل‌های امنیتی به‌اشتراک گذاشته نمی‌شود و درضمن، امکان خاموش‌کردن این قابلیت وجود دارد.

وب‌سایت 9to5Mac توانسته ازطریق منابعی مؤثق، به جزئیات بیشتری در‌این‌زمینه دست پیدا کند و بفهمد قابلیت Fraudulent Website Warning دقیقا چگونه کار می‌کند. آن‌طورکه 9to5Mac می‌نویسد، سافاری روند تطبیق‌دادن آدرس هر وب‌سایت با فهرست وب‌سایت‌های مخرب را پیش از بارگذاری آن URL انجام می‌دهد. درواقع روند تطبیق URL وب‌سایت با فهرست سایت‌های مخرب، ازطریق بررسی پیشوند‌های هَش‌شده انجام می‌گیرد. اگر سافاری بتواند بین پیشوندهای هش‌شده تطبیقی تشخیص دهد، هَش یادشده را به یکی از دو پروتکل گوگل یا تنسنت می‌فرستد تا از طریق آن‌ها، فهرست کامل URL‌هایی را دریافت کند که پیشوند دارند.

ازآنجاکه سافاری برای ارسال درخواست دریافت فهرست URL سایت‌های مخرب به‌صورت مستقیم با گوگل یا تنسنت ارتباط برقرار می‌کند، این دو شرکت توانایی فهمیدن آدرس IP دستگاه کاربر را دارند. بعد از اینکه سافاری فهرست کامل وب‌سایت‌‌های مخرب تطبیق‌داده‌شده با پیشوند یادشده را دریافت کرد، ارتباطش با گوگل و تنسنت قطع می‌شود و روی دستگاه خود کاربر URLهای دریافت‌شده با آدرسی را تطبیق می‌دهد که کاربر در حال بازدید از آن است. این یعنی URL سایتی که از آن بازدید می‌کنید، هرگز برای گوگل و تنسنت ارسال نمی‌شود و مرحله‌ی آخر و اصلی روی دستگاه خودتان به‌وقوع می‌پیوندد. 

با این‌ همه، اگر به Fraudulent Website Warning علاقه‌ای ندارید و می‌خواهید این اخطار را غیرفعال کنید، می‌توانید وارد مسیر Settings → Safari → Fraudulent Website Warning شوید و آن را غیرفعال کنید. درضمن، در سیستم‌عامل مک برای غیرفعال‌سازی این اخطار می‌توانید به مسیر Safari → Preferences → Security → Warn when visiting a fraudulent website مراجعه کنید.

دیدگاه شما کاربران زومیت درباره‌ی این موضع چیست؟ چقدر از مرورگر سافاری برای جست‌و‌جو در فضای وب استفاده می‌کنید؟