Apple Safari für iOS sendet offenbar Benutzer-IP-Adressen an Tencent

Eine Sicherheitskontrolle in Safari unter iOS 13 namens “Fraudulent Website Warning” (Warnung vor betrügerischer Website) wurde veröffentlicht, um Daten an das chinesische Technologieunternehmen Tencent zu senden.

Die Kontroverse trat letzten Donnerstag, den 10. Oktober, auf, als festgestellt wurde, dass die Safari-Datenschutzrichtlinie in iOS 13 Folgendes enthielt:

„Vor dem Besuch einer Website sendet Safari möglicherweise Informationen, die aus der Website-Adresse berechnet wurden, an Google Safe Browsing und Tencent Safe Browsing, um zu überprüfen, ob die Website betrügerisch ist. Diese Anbieter für sicheres Surfen protokollieren möglicherweise auch Ihre IP-Adresse. “

Insbesondere wurde Besorgnis über die enge Beziehung zwischen Tencent und der regierenden Kommunistischen Partei Chinas laut.

Dies ist auch darauf zurückzuführen, dass Apple den Forderungen der chinesischen Regierung nachgab und zuletzt die App HKmap.live verbot, die von regierungsfeindlichen Demonstranten verwendet wurde.

Die standardmäßig aktivierte Warnung zu betrügerischen Websites vergleicht URLs mit einer Blacklist, um zu verhindern, dass iOS-Benutzer auf potenziell schädliche Websites zugreifen.

Im Rahmen dieses Vorgangs sendet Safari sowohl die IP-Adresse des Benutzers als auch den Link an den entsprechenden Sicherheitsdienst. Durch die Zusammenstellung dieser Informationen verfügt der betreffende Sicherheitsdienst über die technische Fähigkeit, den Benutzer zu desanonymisieren.

Im Gespräch mit The Verge bestritt Apple, dass Tencent oder Google Zugriff auf die Browserverlaufsdaten der Benutzer erhalten: „Wenn [Warnung vor betrügerischer Website] aktiviert ist, überprüft Safari die Website-URL anhand von Listen bekannter Websites und zeigt eine Warnung an, wenn es sich um die URL des Benutzers handelt Ein Besuch wird als betrügerisch wie Phishing verdächtigt. Die tatsächliche URL einer von Ihnen besuchten Website wird niemals an einen sicheren Browser-Anbieter weitergegeben. “

Aber das ist nicht die ganze Geschichte. Matthew Green, Professor für Kryptographie an der Johns Hopkins University, hat den Prozess ausführlich beschrieben. Um die Privatsphäre der Nutzer zu schützen, sendet Google (oder Tencent) eine Datenbank mit verkürzten URL-Hashes an den Browser jedes Nutzers – im Grunde genommen eine sehr komprimierte Liste.

Bei jedem Besuch einer URL wird sie von Google gecasht und überprüft, ob sie mit einer der verkürzten URL-Hashes in der Datenbank Ihres Browsers übereinstimmt.

Wenn es eine Übereinstimmung gibt, ruft Google eine Liste mit Hashes in voller Länge ab, um nach einer genauen Übereinstimmung zu suchen. Dabei teilt es Ihre IP mit.

Während ein einziger Abruf allein nicht ausreicht, um die Privatsphäre schrittweise zu untergraben, könnten viele Anforderungen verwendet werden, um dem Sicherheitsanbieter ein detaillierteres Profil seiner Benutzer zu geben.

Apple hat ZDNet mitgeteilt, dass Tencent Safe Browsing “nur für Geräte verwendet wird, deren Regionalcode auf das chinesische Festland festgelegt ist”, da alle Google-Dienste innerhalb des Landes verboten sind. Dies verhindert jedoch nicht, dass das Feature von Google im Rest der Welt missbraucht wird.

Benutzer stehen vor einem Kompromiss: Vertrauen Sie großen Technologieunternehmen, um diesen Zugang nicht zu missbrauchen und ihre Privatsphäre zu untergraben, oder verringern Sie die Sicherheit und das Risiko, dass sie schädlichen Websites ausgesetzt sind.

Standardmäßig ist die Funktion aktiviert, aber für diejenigen, die sie lieber deaktivieren möchten, ist der Vorgang zum Glück sehr einfach. Navigieren Sie einfach zu Einstellungen> Safari und schalten Sie unter Datenschutz und Sicherheit die Option Warnung vor betrügerischer Website aus.

Eine alternative Methode zum Schutz Ihrer Anonymität ist die Verwendung eines VPN, um eine neue IP-Adresse zu generieren. Dies würde bedeuten, dass – selbst wenn ein Unternehmen wie Google oder Tencent ein Profil aus Ihren Daten erstellen würde – es für Sie nicht identifizierbar wäre.