داده‌های «وب‌گردی» کاربران بر لبه تیغ

گروه دانش و فن|

مرورگر سافاری از مدت‌ها قبل داده‌های وب‌گردی کاربران را جهت جلوگیری از حملات فیشینگ از طریق قابلیت امنیتی Fraudulent Website Warning به ابزار Safe Browsing گوگل ارسال می‌کرد، اما اخیرا اخباری مبنی بر ارسال برخی از این داده‌ها به شرکت فناوری چینی به نام تنسنت (Tencent) منتشر شده و بعضی از کاربران متوجه شده‌اند که iOS 13و احتمالا نسخه 12.2 این سیستم عامل، برخی از داده‌های وب‌گردی کاربران را علاوه بر گوگل، به ابزار Safe Browsing شرکت تنسنت نیز ارسال کرده و این خبر بسیاری از کاربران مرورگر سافاری را شوکه کرده است. قابلیت

«Fraudulent Website Warning» کاربران را پیش از بازدید از سایت‌های فیشینگ و مخرب مطلع می‌کند. سافاری برای شناسایی سایت‌های مخرب، ترافیک کاربران را با یک لیست سیاه خارجی تطبیق می‌دهد. این روش شناسایی در گذشته توسط گوگل برای شناسایی سایت‌های مخرب به کار می‌رفت و اکنون توسط اپل هم استفاده می‌شود. لیست‌های سیاه کاربرد خوبی برای مطلع کردن کاربر از سایت‌های مخرب دارند، اما روی کاغذ می‌توان از آنها برای رصد فعالیت کاربران نیز استفاده کرد. بدترین حالت این رصد این است که مرورگر می‌تواند مستقیما هر لینکی که کاربر روی آن کلیک کند را با لیست سیاه تطبیق دهد که در آن صورت، یک لاگ مفصل از فعالیت‌های اینترنتی کاربر ایجاد می‌شود.

نگرانی اصلی در مورد نحوه استفاده شرکت فناوری چینی از داده‌هاست. احتمال دارد گوگل در کنار این شرکت با لاگ کردن آدرس IP کاربران، سیستم‌های ضدفیشینگ خود را تقویت کرده باشند؛ اما همکاری نزدیک شرکت تنسنت با دولت چین گمانه‌زنی‌هایی را در مورد استفاده از داده‌ها برای نظارت بر کاربران و اهداف مجرمانه دیگر به وجود آورده است. البته تاکنون رصد فعالیت‌های اینترنتی کاربران توسط مرورگر سافاری اثبات نشده، اما شراکت اپل با شرکت چینی تنسنت گمانه‌زنی‌هایی را در مورد سوءاستفاده کمپانی کوپرتینویی و شرکت چینی از این سیستم ایجاد کرده است. شرکت تنسنت صاحب چندین اپلیکیشن از جمله پیام‌رسان WeChat و مرورگر QQ بوده و با اعمال فیلتر در آنها داده‌های کاربران را نیز در اختیار دولت چین گذاشته است.

   اپل سوءاستفاده از فعالیت‌های اینترنتی را رد کرد

اپل با انتشار بیانیه‌ای ضمن رد کردن سوءاستفاده گوگل و کمپانی تنسنت از فعالیت‌های اینترنتی کاربران می‌گوید که ابزار

 Safari Fraudulent Website Warning از حریم شخصی و داده‌های کاربران حفاظت می‌کند. اپل اعلام کرده که قابلیت مذکور URL سایت مد نظر را با لیست سیاه سایت‌های مشکوک تطبیق می‌دهد. مرورگر سافاری برای این کار لیست سایت‌های مخرب را از گوگل گرفته و برای شناسایی دستگاه‌های چینی نیز لیستی از شرکت تنسنت دریافت می‌کند. اپل تاکید کرده که URL اصلی سایت را هیچ‌گاه با ابزار Safe Browsing به اشتراک نگذاشته و البته کاربران می‌توانند هر زمان، این قابلیت را غیرفعال کنند. برای غیرفعال کردن این ابزار می‌توان به بخش تنظیمات و سپس سافاری مراجعه کرد؛ اما با این کار، یک لایه امنیتی مهم در مرورگر سافاری از میان رفته و امنیت شما در برابر سایت‌های مشکوک پایین می‌آید. درواقع شرکت اپل هم به دلیل اهمیت امنیتی این قابلیت، آن را به‌طور پیش‌فرض فعال کرده است. بر اساس اطلاعات دیجیاتو از وب‌سایت ZDNet، شرکت اپل با تشریح بیشتر کارکرد سیستم فوق، اعلام کرده است که گوگل و تنسنت کپی دیتابیس را به مرورگر کاربر ارسال کرده و به آن اجازه می‌دهند تا URL را با یک دیتابیس محلی تطبیق دهد؛ بنابراین ترافیک هیچ‌وقت به شرکت‌های مذکور ارسال نخواهد شد. کمپانی کوپرتینویی اعلام می‌کند که لیست سیاه شرکت تنسنت فقط داخل مرزهای چین استفاده می‌شود که دامنه‌های گوگل در آنجا اجازه فعالیت ندارند. این درحالی است که متیو گرین

 (Matthew Green) رمزنگار و استاد دانشگاه جانز هاپکینز، می‌گوید از لحاظ تئوری یک فرد خرابکار می‌تواند از طریق ابزار Safe Browsing گوگل هویت کاربر را با لینک کردن درخواست‌های سایت برملا کند. بنابراین اگر شرکت چینی مورد بحث از چنین روشی استفاده کرده باشد، امکان شناسایی هویت کاربران در صورت فشار از جانب دولت چین وجود دارد. او همچنین معتقد است گوگل روی یک سیستم فعل و انفعالی بین لیست سایت‌ها و مرورگر سافاری وابسته است. به عبارت دیگر گوگل هرکدام از URLهای نامطمئن را به یک کد تبدیل کرده و سپس اولین قسمت از این کدها به نام «prefixes» را به مرورگر سافاری می‌فرستد. زمانی که کاربر از صفحه‌ای دیدن کند، مرورگر سافاری URL را   هش کرده و اولین قسمت آن را با لیست سیاه تطبیق می‌دهد. در صورتی که URL با سایتی در لیست سیاه تطابق داشته باشد، مرورگر تمام هش‌هایی که شامل prefix می‌شوند را از گوگل درخواست می‌کند و در صورتی که مورد مشابهی پیدا شود، سایت به عنوان سایت مخرب شناسایی می‌شود.

این توضیحات بدان معناست که گوگل هیچ‌گاه توانایی مشاهده هش URL به شکل کامل را نداشته و در بسیاری از موارد هیچ اطلاعاتی دریافت نمی‌کند. اما زمانی که سافاری با تطبیق prefix با لیست سیاه به سایت مخربی برخورد کند، آدرس IP کاربر و همچنین هش ناقص صفحه‌ای که کاربر در حال بازدید از آن است را آشکار می‌کند. اگر سایتی همانند گوگل که ارایه‌دهنده لیست سیاه است، کار خود را در حفاظت از حریم شخصی کاربران به خوبی انجام دهد، مشکلی نخواهد بود. اما به عقیده گرین، همین قطعات کوچک اطلاعات نیز می‌توانند هویت کاربر را مخدوش کرده و مشکل زمانی به وجود خواهد آمد که ارایه‌دهنده سرویس Safe Browsing  به‌طور فعالانه به رصد فعالیت‌های کاربران می‌پردازد. البته گرین در مورد شرکت تنسنت قضاوتی نمی‌کند، اما می‌گوید این شرکت ممکن است فعالیت‌های کاربران را رصد کرده باشد. او معتقد است شرکت اپل باید شفافیت بیشتری را در مورد همکاری با شرکت تنسنت نشان می‌داد. هرچند می‌توان از این اشتباه کوچک چشم‌پوشی کرد؛ چون تعداد زیادی از شرکت‌های امریکایی با این شرکت چینی همکاری می‌کنند. شرکت تنسنت فروردین ماه 96 پنج درصد از سهام شرکت تسلا را خرید و اول آذر ماه سال 96 نیز به اولین شرکت آسیایی 500 میلیارد دلاری تبدیل شد. این شرکت سال گذشته میلادی نیز سرمایه‌گذاری 150 میلیون دلاری در ردیت کرد و با بسیاری از شرکت‌های بازی‌سازی امریکایی نیز همکاری می‌کند.

   سابقه بد چین در حفاظت از حریم شخصی کاربران

با اینکه دولت چین سابقه خوبی در حفاظت از حریم شخصی کاربران با جاسوسی از 100 میلیون گوشی اندرویدی و همچنین نصب نرم افزار جاسوسی روی گوشی توریست‌ها ندارد اما شرکت‌های فناوری امریکایی نیز از دیرباز با درخواست‌های دولت امریکا برای نظارت بر کاربران مشکل داشته‌اند. خبر همکاری شرکت اپل با کمپانی چینی تنسنت به دلیل امتیازاتی که کمپانی کوپرتینویی به دولت چین داده سر و صدا کرده است. این شرکت فوریه سال گذشته میلادی با وجود نگرانی‌ها از احتمال دخالت دولت چین، به شکل رسمی فعالیت‌های چینی سرویس iCloud  و همچنین کلیدهای رمزگذاری‌شده آن را به چین منتقل کرد. کمپانی اپل اخیرا نیز اپلیکیشن ردیابی پلیس در هنگ‌کنگ را از اپ استور حذف کرد و ایموجی پرچم تایوان را نیز برای کاربران هنگ‌کنگ و ماکائو برداشت. این شرکت اپلیکیشن خبررسانی Quartz را نیز که اخبار هنگ‌کنگ را پوشش می‌داد از اپ‌استور چین حذف کرد. موضوع بحث برانگیز این است که کمپانی کوپرتینویی همواره روی حفاظت از حریم شخصی کاربرانش تاکید ویژه‌ای کرده و از این لحاظ خود را برتر از شرکت‌های دیگر معرفی کرده است؛ اما فعالیت‌های این شرکت در چین خلاف این ادعاها را نشان می‌دهند.