Safari su iOS invia dati verso i server di Tencent: ma niente paura

L'operazione, che da anni viene effettuata sui terminali venduti in Cina, potrebbe essere stata espansa anche nel resto del mondo. Un potenziale problema di sicurezza che necessita, almeno, di qualche spiegazione
di Nino Grasso pubblicata il 14 Ottobre 2019, alle 15:21 nel canale AppleAppleiPhoneiOS
Il browser Safari manda dei dati sulla navigazione dell'utente al servizio Google Safe Browsing per questioni di sicurezza. La procedura serve principalmente a evitare rischi di phishing attraverso la funzione "Fraudulent Website Warning", e pare che lo stesso trattamento sia riservato anche alla società cinese Tencent. Questo ha attirato i radar di utenti e giornalisti americani, in pieno periodo di "trade war" fra la Cina e gli USA.
Diversi utenti hanno scoperto che iOS 13 (o anche le versioni precedenti a partire dalla 12.2) invia alcuni dati al servizio Tencent Safe Browsing, oltre che al sistema di Google. Non è chiaro al momento se l'azienda cinese riesca a raccogliere informazioni anche da utenti che risiedono fuori dalla Cina, visto che quando accade dovrebbe comparire un avviso, tuttavia se anche fosse l'operazione non sarebbe per forza a rischio privacy.
La preoccupazione alla base della ricezione dei dati da parte di Tencent verte intorno a quello che l'azienda può fare con gli stessi. Sia Google che Tencent potrebbero infatti immagazzinare indirizzi IP al fine di consentire ai propri sistemi anti-phishing di operare in maniera corretta, tuttavia la frequente cooperazione fra Tencent e governo cinese fa supporre che i dati raccolti possano essere utilizzati per scopi di sorveglianza e tracciamento.
Matthew Green, professore all'Università Johns Hopkins ed esperto di crittografia, ha fatto notare che un provider potrebbe utilizzare in teoria i dati dei servizi di Safe Browsing per scoprire l'identità di un utente analizzando le richieste ai siti. Questo potrebbe accadere sia con il servizio di Google, sia con quello di Tencent, visto che entrambi sfruttano metodi simili per offrire le feature di anti-phishing.
Una soluzione al problema, qualora ce ne fosse davvero uno? Disattivare la funzione Fraudulent Website Warning dalle Impostazioni di iPhone all'interno della pagina Safari. Gli utenti lamentano che Apple attiva la funzione di default senza dirlo esplicitamente, e non specifica se Tencent operi solo in Cina o anche nel resto del mondo. Non aiutano, inoltre, nemmeno i pregiudizi (fondati o meno) dell'influenza del governo cinese nel mondo tecnologico, un problema che nel pieno della trade war diventa sempre più martellante.
7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoIl problema con l'outsourcing di Apple verso Google e Tencent per il servizio di safe browsing è che non vengono passate solamente le mere richieste del browser, ma tutto il resto che l'indirizzo IP dell'utente si porta dietro.
Il problema non si porrebbe se Apple nel trasferire le richieste agisse da Proxy, mascherando quindi gli indirizzi IP, ma non è così.
Per non parlare poi della trasparenza: su iOS 13 si è dovuto andare a scavare tra le note legali nelle impostazioni mentre su macOS la cosa non è minimante menzionata.
Secondo quello che dice qui apple non condivide l'url, gli vien dato un elenco da google/tencent e lo verifica in locale.
L'ip viene comunicato perché le richieste son dirette tra device e servizio.
Mi sembra un po' una puttanata, sarebbe meglio se apple tenessere quest'elenco di robra fraudolenta sui suoi server e facesse il polling lei direttamente della nuova lista.
Ognuno poi crede a quello che vuole
Ovviamente la news di hwupgrade è sbagliata...
Secondo quello che dice qui apple non condivide l'url, gli vien dato un elenco da google/tencent e lo verifica in locale.
L'ip viene comunicato perché le richieste son dirette tra device e servizio.
Mi sembra un po' una puttanata, sarebbe meglio se apple tenessere quest'elenco di robra fraudolenta sui suoi server e facesse il polling lei direttamente della nuova lista.
Ognuno poi crede a quello che vuole
Ovviamente la news di hwupgrade è sbagliata...
Apple chiede un prefisso, poi la vera URL la verifica in locale però diciamo che un minimo tracking già dal prefisso puoi farlo, è come se tu aprissi una news del GP di F1 www.gazzetta.it/articoli/motori/f1/gara.html e al servizio esterno arrivasse solo www.gazzetta.it, non sanno che ti interessa la F1 però sanno che visiti la Gazzetta
probabilmente la Cina li obbliga a passare direttamente da Tencent senza possibilità di fare proxy ma in effetti per il resto del mondo potrebbero mettersi loro in mezzo tra Safari e il servizio Google
probabilmente la Cina li obbliga a passare direttamente da Tencent senza possibilità di fare proxy ma in effetti per il resto del mondo potrebbero mettersi loro in mezzo tra Safari e il servizio Google
Non penso proprio che apple si fili la cina al di fuori della cina.
Certe cose le fa in cina perché è obbligata dal governo e ha troppi utenti ancora.
Imho quando il 99% dei cinesi avrà android apple se ne tirerà fuori.
Da quel che ho capito comunque basta dire nel telefono che non si è cinese ma di un altro paese e molte cose, icloud compreso, non possono esser visti dal governo cinese.
Alla fine bisogna scegliere da chi farsi spiare, cina o usa? :°D
...più smucini....
...non c'è proprio niente da fare....E' illusione pura quella di sperare di trovare nelle tecnologie "smart" un approccio leale e trasparente.
Tutti ( nessuna OTT e gregari tecnologici esclusi!) interessati a rastrellare, sottrarre e fregare quanti più dati possibili.
Ridurre anche solo la sottrazione di un "metadato" a mera necessità per "migliorare" il servizio è sempre e comunque una attività di SPIONAGGIO!
Perchè il singolo dato sotratto potrebbe anche non portare a nulla, MA...e qui viene il nodo al pettine...
*fino a quando non ci sgamano
il punto è che loro si sono eletti a paladini della privacy quindi è chiaro che ogni minima cosa ha molto più risalto se capita a Apple, il fatto che prendano provvedimenti solo dopo che ci è arrivata la stampa non è il massimo
adesso c'è questa delle URL ma le registrazioni di Siri secondo me erano molto peggio dal punto di vista della privacy, proprio riferendoci al loro motto che hai quotato
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".