A fines de la semana pasada defensores de la privacidad advirtieron que Apple estaba enviando datos de usuario de iOS a la compañía china Tencent, un desarrollo alarmante para cualquiera que haya tomado las promesas de privacidad de la compañía al pie de la letra. Una nota en iOS 13 menciona que su navegador Safari usa el sistema de navegación segura de Tencent para ayudar a combatir las páginas web maliciosas, pero Tencent puede registrar direcciones IP en el proceso. Si bien esto ha sido cierto para meses o incluso años, las noticias arrojan una luz dura sobre las recientes luchas de Apple con la vigilancia y la censura en China, y los problemas más grandes con la privacidad en la web.
Los problemas de Apple se basan en una característica de iOS en su mayoría no controvertida: la opción de "Advertencia de sitio web fraudulento" de Safari. La advertencia de sitio web fraudulento, como su nombre lo sugiere, advierte a los usuarios cuando están a punto de visitar un sitio conocido de phishing o malware. Safari identifica estos sitios verificando el tráfico web de los usuarios con una lista negra externa. En el pasado, ese ha sido el programa de navegación segura de Google. Sin embargo, según un aviso de iOS, Apple ahora también está utilizando una lista negra de Tencent Safe Browsing.
Estas listas negras son excelentes para advertir a los usuarios de sitios malos. Pero también pueden usarse hipotéticamente para rastrear usuarios. En el peor de los casos, un navegador podría enviar directamente cada enlace en el que haga clic para que se verifique con una lista negra, lo que crearía un registro completo de su actividad en Internet, vinculado a su dirección IP.
Hasta donde sabemos, Safari no está haciendo nada por el estilo. Pero la asociación de Apple con Tencent todavía ha generado temores de que la compañía masiva de tecnología y medios pueda estar abusando del sistema. Tencent ejecuta una variedad de aplicaciones en China, incluido el servicio de mensajería WeChat y el navegador QQ. Y como varias otras compañías chinas, censura sus aplicaciones y supuestamente ha información de usuario pasada al gobierno chino
Apple ha argumentado vehementemente en contra de esta teoría. En una declaración a El borde, dijo que Tencent y Google no obtienen listas del historial de navegación web de los usuarios:
“Apple protege la privacidad del usuario y protege sus datos con la Advertencia de sitio web fraudulento de Safari, una característica de seguridad que marca sitios web conocidos por ser de naturaleza maliciosa. Cuando la función está habilitada, Safari compara la URL del sitio web con las listas de sitios web conocidos y muestra una advertencia si la URL que el usuario está visitando es sospechosa de conducta fraudulenta como el phishing. Para realizar esta tarea, Safari recibe una lista de sitios web conocidos por ser maliciosos de Google, y para los dispositivos con su código de región establecido en China continental, recibe una lista de Tencent. La URL real de un sitio web que visita nunca se comparte con un proveedor de navegación seguro y la función se puede desactivar ".
manzana Ofrecido ZDNet Una descripción más detallada de cómo funciona el sistema. Dice que Google y Tencent están "enviando una copia de la base de datos al navegador de un usuario y permitiendo que el navegador verifique la URL en esta base de datos local", por lo que el tráfico nunca llega a esas compañías. También dice que la lista negra de Tencent solo se usa dentro de China continental, donde los dominios de Google están prohibidos.
Johns Hopkins criptógrafo Matthew Green pintado un retrato más complejo del sistema de navegación segura, sin embargo. Señala que Google, por ejemplo, se basa en una interacción compleja entre la lista negra y Safari. Básicamente, Google convierte cada URL insegura en un código que no lo identifica explícitamente, luego envía a Safari las primeras secciones de estos hash, conocidos como "prefijos". Cuando un usuario visita una página web, Safari comprueba su URL y comprueba el prefijo su lista Si hay una coincidencia, Safari le pide a Google todos los hash que incluyen ese prefijo. Google entrega, y Safari comprueba esa lista más pequeña para una coincidencia completa, luego marca la página si encuentra una.
Esto significa que Google nunca ve un hash de URL completo y, en muchos casos, no obtendrá ninguna información. Pero cuando Safari encuentra un prefijo coincidente y le pide a Google más hashes, revela la dirección IP del usuario, así como un hash parcial para cualquier página que esté visitando.
Si un proveedor de listas negras como Google está operando de buena fe, esto ofrece una privacidad razonablemente buena, especialmente contra los peligros muy reales de los sitios maliciosos. Pero Green argumentó que estas pequeñas piezas de información aún pueden erosionar el anonimato de los usuarios mientras navegan por la web día tras día. Si un proveedor de navegación seguro está intentando rastrear activamente a las personas, eso podría ser un problema. No llegó a la conclusión de que Tencent es haciendo esto, pero podría ser haciéndolo. Como resultado, Green cree que Apple debería haber sido más transparente sobre el hecho de que está trabajando con la compañía.
Normalmente, esto podría considerarse un paso en falso menor de Apple. Después de todo, muchas empresas estadounidenses trabajan con Tencent. (La empresa lideró una ronda de financiación de $ 150 millones para Reddit a principios de este año, y anteriormente se invirtió en Fortnite creador Epic, entre muchas otras compañías de juegos en todo el mundo.) Y aunque el gobierno de China es más draconiano y autoritario que el de Estados Unidos, las compañías tecnológicas tienen una larga y preocupante historia de cumplimiento de las solicitudes de vigilancia estatal de los Estados Unidos. Google y Apple estuvieron implicados en PRISM, la Agencia de Seguridad Nacional amplio programa de espionaje web.
Pero la noticia llega cuando Apple se enfrenta a duras críticas por sus concesiones muy reales al gobierno chino. La empresa comenzó almacenar algunas claves de cifrado de iCloud en China el año pasado, a pesar del temor de que esto los haga vulnerables a la incautación del gobierno. Más recientemente, eliminó una aplicación de mapeo eso ayudó a los residentes de Hong Kong a evitar los puestos de control policiales en medio de una ofensiva contra las protestas en favor de la democracia. También escondió el emoji de la bandera taiwanesa para usuarios de iOS en Hong Kong o Macao, y supuestamente prohibido el Cuarzo aplicación de noticias de su tienda de aplicaciones china sobre la cobertura de protesta de Hong Kong en el medio.
Además, Apple a menudo usa la privacidad y la seguridad para distinguirse de otras compañías tecnológicas. Por lo tanto, su disposición a comprometerse en China ha sido un punto débil notable, fácilmente explotado por competidores como Facebook.
La historia más grande aquí no se trata de ninguna compañía individual. Se trata de la dificultad de obtener una privacidad significativa en línea, especialmente cuando algunas grandes compañías controlan gran parte de Internet. Es fácil condenar el seguimiento cuando se usa para publicidad dirigida o esquemas similares para hacer dinero, pero estos sistemas de seguridad centralizados son increíblemente útiles para cualquiera que navegue por la web. Pero los usuarios a menudo no entienden las compensaciones que están haciendo, incluso cuando esas compensaciones están justificadas para evitar amenazas graves como el phishing y el malware.