جنجال اخیر سافاری پیچیدهتر از آن است که بهنظر میرسد
چند روز پیش، یکی از محققان حوزهی رمزنگاری و از پروفسورهای دانشگاه جانز هاپکینز در گزارشی مدعی شد اپل دادههای کاربران مرورگر سافاری در سیستمعامل iOS را برای شرکت چینی تنسنت ارسال میکند که ظاهرا ارتباطات تنگاتنگی با دولت این کشور دارد. انتشار این گزارش باعث تعجب بسیاری از کاربرانی شد که همواره مدعی بودند اپل در هر شرایطی، حریم خصوصی کاربرانش را در اولویت قرار میدهد و آن را نقض نمیکند.
محققی کدی خاص در iOS 13 پیدا کرد و از روی آن متوجه شد اپل بهمنظور حفاظت از کاربران مروگر سافاری دربرابر وبسایتهای جعلی و کلاهبرداری، از پروتکل امنیتی ویژهی شرکت تنسنت با نام Tencent Safe Browsing استفاده میکند. این محقق گفته بود تنسنت ازطریق این پروتکل، به آدرس IP کاربران اپل دسترسی پیدا میکند و همین موضوع نگرانیهای متعددی بهدنبال داشت. انتشار این خبر باردیگر ما را بهیاد مشکلات اخیر اپل با نظارت و سانسور محتوای دولت چین میاندازد؛.درضمن این خبر ابعاد جدیدی از نقض حریم خصوصی را در فضای وب آشکار میکند.
جنجال اخیر مرورگر سافاری که مشکلاتی برای اپل ایجاد کرده، دراصل مربوط به قابلیتی نهچندان شناختهشده است که از آن با نام «اخطار وبسایتهای جعلی» (Fraudulent Website Warning) یاد میشود.
Fraudulent Website Warning همانطورکه از نامش پیدا است، زمانی بهکار میافتد که کاربر در حال بازدید از وبسایتی مخرب باشد. درواقع، اگر کاربر بخواهد ازطریق مروگر سافاری وارد چنین وبسایتی شود، اخطار Fraudulent Website Warning روی صفحه ظاهر میشود و به کاربر پیشنهاد میکند صفحه را ببندد.
روند شناسایی سایتهای مخرب ازطریق سافاری چندان پیچیده نیست. سافاری فهرست سیاهی شامل وبسایتهای مخرب را از پروتکلهای امنیتی گوگل یا تنسنت دریافت میکند و آن را با آدرس وبسایتی مقایسه میکند که کاربر در حال تلاش برای مشاهدهی آن است. اگر تطبیقی مشاهده شد، پیام Fraudulent Website Warning روی صفحه ظاهر میشود. در گذشته اپل برای استفاده از این قابلیت فقط به پروتکل امنیتی گوگل، یعنی Google Safe Browsing، متکی بود؛ اما طبق بیانیهی رسمی اپل، این شرکت اکنون درکنار پروتکل گوگل از پروتکل امنیتی تنسنت نیز استفاده میکند.
مرورگر میتواند تکتک لینکهایی که روی آنها کلیک میکنید، برای پروتکلهای گوگل و تنسنت بفرستد
فهرست وبسایتهای مخرب موجود در پروتکل تنسنت و گوگل روشی بسیار عالی برای اخطار به کاربران بهمنظور واردنشدن به وبسایتهای جعلی و فیشینگ بهشمار میآید. بااینحال ازلحاظ تئوری، امکان استفاده از همین پروتکلها بهعنوان روشی برای ردگیری کاربران نیز وجود دارد.
در بدترین حالت ممکن، مرورگر میتواند تکتک لینکهایی که روی آنها کلیک میکنید، برای این پروتکلها بفرستد تا مخرب بودن یا نبودن آنها را بررسی کند؛ اتفاقی که باعث میشود تمام صفحات وبی که از آنها بازدید کردهاید، در یکجا جمع شوند و بهنوعی پروفایلی از رفتارتان در فضای وب برایتان ایجاد شود. نکتهی بدتر این است که پروتکل یادشده به آدرس IPتان نیز دسترسی دارد.
تا جایی که اطلاع داریم، عملکرد سافاری بدینصورت نیست. باوجوداین، همکاری تجاری اپل با تنسنت باعث بروز نگرانیهایی درزمینهی نقض حریم خصوصی شده است. درواقع، برخی افراد مدعیاند این دو شرکت بزرگ ممکن است از پروتکل امنیتی مربوط به جستوجوی امن در فضای وب استفادههای نابجایی کنند. تنسنت شرکتی شناختهشده در چین بهشمار میآید و در توسعهی اپلیکیشنهای مختلفی دست داشته است.
پیامرسان ویچت و مرورگر QQ دو نمونه از اپلیکیشنهای ساخت تنسنت هستند. این شرکت همچون چند شرکت چینی دیگر، سانسورهای خاصی در راستای قوانین دولت چین در اپلیکیشنهایش اعمال میکند. درضمن، اخیرا گزارشهای متعددی منتشر شده بود که براساس آنها تنسنت اطلاعات کاربرانش را دراختیار دولت چین قرار داده است.
بهدنبال انتشار نخستین اخبار مربوط به استفادهی سافاری از پروتکل امنیتی تنسنت و نقض احتمالی حریم خصوصی کاربران iOS، اپل بهسرعت دست به کار شد و بیانیهای دراختیار برخی رسانهها قرار داد. در بیانیهی منتشرشده، اپل بهوضوح با تئوری یادشده مخالفت کرد و گفت گوگل و تنسنت به تاریخچهی جستوجوی کاربر در فضای وب دسترسی ندارند. درواقع طبق ادعای اپل، هیچگاه URL واقعی وبسایتی که کاربر از آن بازدید میکند، برای گوگل و تنسنت ارسال نمیشود. بیانیهی اپل را درادامه میتوانید بخوانید:
اپل از حریم خصوصی کاربر محافظت میکند و ازطریق قابلیت Fraudulent Website Warning (اخطار وبسایتهای جعلی) مرورگر سافاری، دادههای شما را بهشکلی امن نگهداری میکند. Fraudulent Website Warning قابلیتی امنیتی است که وبسایتهایی را پیدا و نشانهگذاری میکند که بهطور طبیعی بهعنوان وبسایت مخرب شناسایی میشوند. درواقع، سافاری فهرستی شامل وبسایتهایی را در خود دارد که بهعنوان وبسایتهای مخرب شناختهشدهاند. وقتی این قابلیت فعال باشد، سافاری URL آن وبسایت را با وبسایتهای مخرب شناختهشده مقایسه میکند و اگر تشخیص دهد آدرسهایی که کاربر از آن بازدید میکند، به مواردی نظیر محتوایی جعلی و کلاهبردارانه مثل فیشینگ مشکوک است، اخطاری روی صفحه ظاهر میکند. سافاری برای انجام این کار، فهرستی از وبسایتهای مخرب را از گوگل دریافت میکند. بهعلاوه، این فهرست برای دستگاههایی ازطریق تنسنت ارسال میشود که کد منطقهای آنها برای کشور چین ثبت شده باشد. URL واقعی وبسایتی که در حال بازدید از آن هستید، هیچگاه با ارائهدهندگان پروتکلهای امنیتی بهاشتراک گذاشته نمیشود و درضمن، امکان خاموشکردن این قابلیت وجود دارد.
فردی به نمایندگی از اپل جزئیات بیشتری دراینباره دراختیار رسانهی ZDNet قرار داده است. ظاهرا گوگل و تنسنت یک کپی از دیتابیسی به سافاری ارسال میکنند که شامل فهرستی از وبسایتهای شناختهشدهی مخرب است و به مروگر اجازه میدهند URL وبسایتی که کاربر در حال تلاش برای دیدن آن است، با فهرست URLهای دیتابیس پروتکلهای امنیتی گوگل و تنسنت مقایسه کند.
گوگل و تنسنت به تاریخچهی جستوجوی کاربران دسترسی ندارند
با این اوصاف، ترافیک اینترنت کاربر هیچگاه برای گوگل و تنسنت ارسال نمیشود. درضمن، تنها برای دستگاههایی که کد منطقهای آنها برای کشور چین ثبت شده باشد، از پروتکل امنیتی تنسنت استفاده میشود. این یعنی کاربرانی نظیر کاربران آمریکا، فهرست وبسایتهای مخرب را از پروتکل شرکت گوگل دریافت میکنند. دلیل اتخاذ این تصمیم نیز واضح است؛ چراکه دامنههای گوگل در چین مسدود شدهاند؛ بنابراین امکان استفاده از پروتکل امنیتی این شرکت در آنجا وجود ندارد.
متیو گرین، پروفسور دانشگاه جانز هاپکینز، دراینزمینه توضیحات بیشتری ارائه داد و ابعاد پیچیدهی جدیدی از ماجرا را مشخص کرد. او مدعی است تعاملات بین فهرست سیاه پروتکل شرکتی مثل گوگل با مرورگر سافاری بهشکلی پیچیده صورت میپذیرد. اساسا گوگل هر URL غیرامن را به کد خاصی تبدیل میکند که بهسادگی تشخیصپذیر نیست و سپس، بخشهای اولیهی کد یادشده را برای سافاری ارسال میکند. از این بخشهای اولیه با نام «پیشوند URL» یاد میشود.
وقتی کاربر ازطریق سافاری از صفحهی وب بازدید میکند، این مرورگر بهصورت خودکار URL آن صفحه را هَش و پیشوندهای هششده را با پیشوندهای دریافتی پروتکل گوگل یا تنسنت مقایسه میکند. اگر بین این پیشوندها مطابقتی مشاهده شود، سافاری از پروتکل گوگل درخواست میکند که فهرست کامل کدهای دارای آن پیشوند را برای این مرورگر بفرستد. گوگل این فهرست را برای سافاری ارسال میکند و سپس، مرورگر اپل آن فهرست جدید را به دقت بررسی میکند تا تطابق کاملی با URL پیدا کند که کاربر در حال بازدید از آن است. اگر تطابقی در مرحلهی دوم پیدا شود، اخطار وبسایت جعلی روی صفحه ظاهر میشود.
گوگل و تنسنت در مواقعی خاص، به آدرس IP کاربر دسترسی پیدا میکنند
اگر روند یادشدهی مذکور را بهدقت بخوانید، متوجه میشوید گوگل هیچگاه URL کامل وبسایتی را مشاهده نمیکند که کاربر در حال بازدید از آن است. درضمن در بسیاری از مواقع، وقتی که کاربر در حال بازدید از وبسایت غیرمخرب است، گوگل یا تنسنت اطلاعات خاصی از مرورگر سافاری دریافت نمیکنند. بااینحال، وقتی سافاری بتواند بین پیشوند URL بازشده و پیشوندهای ارسالشدهی پروتکلهای امنیتی گوگل یا تنسنت مطابقتی مشاهده کند، آدرس IP کاربر بههمراه بخشی از URL هششدهی وبسایتِ درحال بازدید، برای این دو شرکت رؤیتپذیر میشود.
اگر شرکتی نظیر گوگل که درزمینهی ارائهی فهرست سیاه وبسایتهای مخرب فعالیت میکند، اهداف خوبی در سر داشته باشد، نمیتوانیم ادعا کنیم دراینبین حریم خصوصی کاربر نقض میشود. درواقع، با فرض اینکه گوگل نخواهد از این اطلاعات سوءاستفاده کند، مشکل خاصی پیش نمیآید. مزیتهای این کار با درنظرگرفتن خطرهایی بیشتر روشن میشود که مراجعه به وبسایتهای جعلی ممکن است برای کاربر ایجاد کند.
بااینحال، متیو گرین مدعی شده است این اطلاعات جزئی که دراختیار گوگل و تنسنت قرار میگیرند، میتوانند از میزان ناشناسبودن کاربر بهمرور زمان بکاهند؛ زیرا کاربر همهروزه در حال بازدید از صفحات وب است و با فرض بازدید احتمالی از وبسایت مخرب، تقریبا همهروزه بخش کوچکی از URL هششده دراختیار گوگل و تنسنت قرار میگیرند. اگر شرکتهای ارائهدهندهی پروتکلهای امنیتی مربوط به جستوجوی امن در فضای وب بخواهند بهطور فعالانه کاربران را ردیابی کنند، این موضوع میتواند مشکلساز شود و نگرانیهای بیشتری درزمینهی حریم خصوصی بهدنبال داشته باشد.
اپل باید پیشتر دربارهی همکاری تجاری با تنسنت شفافسازی میکرد
متیو گرین هیچگاه در گزارشش نگفته است تنسنت چنین کاری انجام میدهد؛ اما فراموش نکنید احتمال انجام این کار بهوسیلهی تنسنت وجود دارد. درهرصورت، باید تمامی احتمالات را در نظر گرفت. گرین درهمینزمینه معتقد است اپل باید پیشتر بهصراحت از همکاری با تنسنت سخن سخن میگفت و بیشتر شفافسازی میکرد تا حاشیههایی فعلی ایجاد نشوند.
میتوانیم شفافسازینشدن این قضیه را اشتباه جزئی اپل بهشمار آوریم. درهرصورت، نباید فراموش کنیم بسیاری از شرکتهای آمریکایی در حال همکاری تجاری با تنسنت هستند. در اوایل سال جاری میلادی، تنسنت ۱۵۰ میلیون دلار در ردیت (Reddit) سرمایهگذاری کرد. افزونبراین، این شرکت پیشتر در شرکتهای دیگری نیز سرمایهگذاری کرده است که ازجمله معروفترینِ آنها اپیک گیمز (Epic Games)، توسعهدهندهی بازی فورتنایت است. تنسنت بهطور کلی نشان داده است علاقهی بسیار زیادی به سرمایهگذاری در شرکتهای فعال در حوزهی گیمینگ دارد.
گرچه بهعقیدهی بسیاری از کارشناسان، چین در مقایسه با ایالات متحدهی آمریکا دولتی اقتدارگراتر بهشمار میآید و قوانین سختگیرانهتری دارد، نباید فراموش کنیم شرکتهای فناوریمحور آمریکایی مدتها است با محدودیتهای دولت این کشور مواجهاند و با مشکلات متعددی دراینزمینه دستوپنجه نرم میکنند. درواقع، شرکتهای آمریکایی بهدفعات به تبعیت از قوانین دولت این کشور مجبور شدهاند.
اپل اهمیت بیشازحدی برای قوانین دولت چین قائل است
خبر مربوط به سافاری در حالی منتشر میشود که افراد و کارشناسان متعددی بهدفعات بهصورت سختگیرانه از اپل انتقاد کرده و مدعی شدهاند این شرکت اهمیت بیشازحدی برای قوانین وضعشدهی دولت چین قائل است.
از سال گذشته، اپل ذخیرهسازی برخی از کلیدهای رمزنگاری آیکلاود را در چین آغاز کرد که این موضوع نگرانیهایی بهدنبال داشت. عدهای از کارشناسان معتقد بودند انجام این کار باعث میشود کلیدهای رمزنگاری آیکلاود ازلحاظ امنیتی آسیبپذیر شوند و دولت چین به آنها دسترسی پیدا کند. حتی اخیرا اپل یکی از اپلیکیشنهای نقشهیابی را از اپاستور حذف کرد. گفته میشد این اپلیکیشن به ساکنان هنگکنگ کمک کرده است از محل ایستگاههای ایست و بازرسی پلیس باخبر شوند. افزونبراین، اپل مدتی پیش اموجی مربوط به پرچم کشور تایوان را در هنگکنگ و ماکائو برای کاربران iOS مخفی کرده بود.
علاوهبر آنچه گفته شد، اپل همواره خودش را شرکتی قلمداد کرده که اهمیت بسیار زیادی برای حریم خصوصی کاربرانش قائل است. درحقیقت، کوپرتینوییها بارها ازطریق حریم خصوصی و امنیت درخورتوجه کاربرانش سعی کرده است خودش را از بسیاری دیگر از شرکتهای بزرگ فناوریمحور جدا کند. بنابراین، تمایل اپل برای سازش با قوانین دولت چین کمی عجیب بهنظر میرسد و بهعقیدهی کارشناسان، حرکتی منفی این شرکت بهشمار میآید.
مشکلات اخیر اپل با مرورگر سافاری، زنگخطری برای حریم خصوصی در دنیای وب بهصدا درمیآورد. درواقع، این موضوع حریم خصوصی در فضای وب را وارد مرحلهی جدیدی میکند. اکنون شاید حفاظت از حریم خصوصی کاربران در فضای آنلاین کار بسیار پیچیدهتر و سختتری باشد و همزمان نگرانیهای مرتبط به آن نیز بیشتر از قبل هستند؛ بهویژه به این دلیل که در دنیای امروز، چند شرکت شناختهشده بیشترین کنترل را روی فضای آنلاین دارند.
اگر شرکتها بخواهند با ردیابی رفتار کاربران در فضای وب از دادههای بهدستآمده بهمنظور نشاندادن تبلیغات هدفمند به آنها استفاده یا به هر شکل دیگری بخواهند ازطریق ردیابی رفتار کاربران درآمدزایی کنند، شاید محکومکردن آنها کار سادهای باشد. بااینحال، نباید فراموش کنیم همین سیستمها نیز بهنوبهی خودشان مزیتهای بسیار زیادی برای کاربران وب دارند. مشکل اینجا است که کاربران وب معمولا نمیدانند در حال دستوپنجه نرمکردن با چه قوانین و مقرراتی هستند.
دیدگاه شما کاربران زومیت دربارهی مسائل اپل و سافاری چیست؟
نظرات