Apple trả lời vụ Safari gửi dữ liệu cho Tencent: Chỉ áp dụng với Trung Quốc
Sáng sớm nay, Apple đã trả lời vụ việc trình duyệt web Safari trên iOS 13 bị phát hiện gửi dữ liệu về hãng Tencent, Trung Quốc.
Sau khi có tin nói rằng Apple gửi dữ liệu của người dùng iOS về Trung Quốc, hôm nay Apple đã trả lời cụ thể hơn về việc này.
"Apple bảo vệ quyền riêng tư của người dùng với chức năng Fraudulent Website Warning của Safari (cảnh báo khi vào một trang web có dấu hiệu lừa đảo). Khi chức năng này được kích hoạt, Safari kiểm tra xem đường link bạn đang xem với một danh sách các website được đánh dấu là lừa đảo (blacklist), nếu khớp thì sẽ hiển thị cảnh báo lên cho người dùng. Để làm được điều đó, Safari dùng danh sách website lừa đảo do Google cung cấp, và với các máy nào được thiết lập vùng Trung Quốc thì Safari sẽ check danh sách do Tencent cung cấp. Địa chỉ cụ thể của website mà bạn ghé thăm không bao giờ được chia sẻ với các bên cung cấp dịch vụ đảm bảo an toàn khi duyệt web, và chức năng này cũng có thể được tắt đi".
Apple giải thích thêm rằng danh sách do Google và Tencent cung cấp được lưu trữ trong nội bộ máy, nên việc kiểm tra URL diễn ra trên máy của bạn mà thôi. Vậy nên đường link của bạn không bao giờ thật sự được gửi cho các bên. Apple cũng giải thích việc họ phải dùng Tencent là do các tên miền của Google bị chặn ở Trung Quốc.
Matthew Green, chuyên gia mã hóa đại học Johns Hopkins, nói thêm về hệ thống Safe Browsing này. Ông nói rằng Google sẽ hash các đường URL thành một chuỗi không thể dịch ngược. Khi bạn duyệt web, Safari sẽ đối chiếu phần đầu của chuỗi hash này, gọi là prefix. Prefix sẽ được Safari dùng để hỏi Google rằng "cái này có an toàn không". Nếu an toàn thì không sao, nhưng nếu prefix khớp với một trang nào đó từng được Google đánh dấu là lừa đảo thì Safari sẽ yêu cầu Google gửi danh sách tất cả các trang bắt đầu với prefix này. Khi đó Safari sẽ so sánh URL với danh sách nhỏ đó để phát hiện trang web đang xem có thật sự lừa đảo hay không.
Điều này có nghĩa là ngay cả Google hay Tencent cũng đều không bao giờ thấy được chuỗi hash đầy đủ của đường link bạn đang truy cập, nên không sợ lộ thông tin về hành vi của mình.
Tuy nhiên, khi Safari giao tiếp với Google và Tencent, hai hãng này có thể lưu lại địa chỉ IP của người dùng, và cũng có một ít về hash rồi. Nếu Google và Tencent có mục đích xấu, họ có thể theo dõi một địa chỉ IP trong thời gian dài để suy luận ra vị trí của bạn, hành vi của bạn ra sao... Green không nói rằng Tencent đang làm chuyện này, nhưng không phải là không thể. Green tin rằng Apple nên minh bạch hơn về cách họ làm việc với Tencent nhất là khi công ty này có mối quan hệ mật thiết với chính phủ Trung Quốc.
