Egyes felhasználók böngészési adatait a kínai Tencent vállalathoz küldi az Apple

Címkék

A napokban derült ki, hogy a felhasználók adatainak biztonságát zászlaja csúcsára tűző Apple egyes felhasználóinak böngészési adatait, illetve IP címért is átküldheti a kínai Tencent Company vállalatnak:

Before visiting a website, Safari may send information calculated from the website address to Google Safe Browsing and Tencent Safe Browsing to check if the website is fraudulent. These safe browsing providers may also log your IP address.

Egyesek ennek nyilvánvalóan nem örülnek. Részletek itt és itt.

Hozzászólások

Jol ertem, hogy a fix annyi, hogy ki kell kapcsolni a Fraudulent Website Warningot? Mely nem mellesleg kikapcsolja a masik nagytestvert is?

Amugy miert csak a 50cent / 5 van kiemelve? A gugli meg mindig joceg, vagy mi?

Milyen mas Fraudulent Website Warning providerek vannak a piacon? Vajon azoknak mekkora a lefedettseguk, es melyik piacon?

Szerk: Settings -> Safari -> Privacy & Security -> Fraudulent Website Warning (=O) --> Fraudulent Website Warning (O=)

Azt a guglitol meg a 10centtol kell megkerdezni.

Amugy tenyleg ugy lenne elegans, ha az Apple proxyzna ezeket, szoval ha a 3rd party logolja is az IP-t, akkor is csak az Apple-ig lat el... De ekkor meg lehet hurrogni, hogy jajjmajd biztos az Apple hallgat le, szoval ez se az igazi.

Mondjuk az IP biztosan eljut hozzájuk egyébként is, ha az Apple nem man-in-the-middle, lehet emiatt a jogi szöveg. Olyan szempontból jó a cikk, hogy most lelőttem.
--
https://naszta.hu

Ha közvetlenül a böngésző fordul a website-hoz, akkor hogyan oldanád meg, hogy az IP címet ne kapja meg?

Az Apple-nek olyan ráhatása lenne, hogy nem adja át az adatokat egy olyan országnak (egyszerűen nem üzletel vele, ott, azon a piacon), amelyik megfigyeli az állampolgárait. Tudom, tudom. Kína nagy piac.

Hát, pont itt jön be az Apple "Ami az iPhone-on történik, ott is marad" bullshit marketing szövege. Ez az álszent hozzáállás az, amit egyébként szóvátesznek.

--
trey @ gépház

Ne légy már értetlen! A "Fraudulent Website Warning" igényli, hogy a Safari böngésző megkérdezze a két jelzett céget arról, hogy a meglátogatni kívánt oldal necces-e vagy sem. Ezáltal a két említett cég tudomást szerez a telefon IP címéről - hiszen az IP kapcsolat úgy működik, hogy a forráscímet viszi a csomag. Enélkül elég nehéz lenne válaszolni - illetve arról, hogy az adott címről milyen oldalt szándékoztak megnézni, mivel ezt kérdezi meg a böngésző, hogy oké-e?
Megoldás lehetne, ha az Apple üzemeltetne egy bazi proxy-t és minden iPhone-os netezés azon keresztül menne. Persze akkor meg ez lenne a baj.

"Megoldás lehetne, ha az Apple üzemeltetne egy bazi proxy-t és minden iPhone-os netezés azon keresztül menne. Persze akkor meg ez lenne a baj."

Nem, akkor nem lenne baj. Az user megbízik az Apple-ben, hiszen megvette a termékét. Azzal viszont nem bízta meg az Apple-t, hogy adatait a Kínai Kommunista Párttal szoros kapcsolatot ápoló (gyakorlatilag állami vállalat) Tencent-nek továbbítsa.

--
trey @ gépház

Ne zsibbassz, nem továbbít senkinek, semmit. Hol olvastad ezt a hülyeséget? A böngésző fordul a szolgáltatókhoz, így válik ismertté a telefon IP címe. Böngészési információ pedig a meglátogatni kívánt oldal címe, amiről ki kellene deríteni, hogy veszélyes-e. Ezt elég nehéz lenne az URL ismerete nélkül megállapítani.

Ave, Saabi.

Így van. De azért lehetne több, a privacy szempontból jobb megoldást alkalmazni.
Pl. a felhasználó választhatna, hogy mely servereket akarja használni a trusted website ellenőrzésnél. Hátrány: user szempontból bonyolultabb.
Vagy az Apple üzemeltethetne egy servert, amely maga kérdezné le a servereket és adná vissza a választ a kliensnek, így a kliens IP-je nem kerül a választ adó serverhez. (a google-hez se, mert tudtommal az a másik szolgáltató). Hátrány: plusz költség.

Ez valóban jobb megoldás lenne, ráadásul ott az iCloud környezet, amibe talán ez is beleférhetne, persze akkor meg azért támadnák őket, akik mindenáron támadni akarják, hogy miért kell nekik saját magukon átfolyatni az összes ilyen lekérést?
Az, hogy felhasználó választhasson, hogy mely szolgáltatóban bízik meg, nem rossz ötlet, de szerintem az iPhone használok 0,1%-a foglalkozna a kérdéssel. Vagy még annyi se. Kikapcsolni viszont legalább ki lehet.

Ave, Saabi.

> miért kell adott esetben egy ilyen szolgáltatáshoz az user IP címét is logolni ...

Írják valahol, hogy ez megtörténik? Az apple privacy policy a lehetőségét említi meg (may also log your ip...), nem kijelenti, hogy ez meg is történik.

Az meg elég hétköznapi dolog, hogy ha egy webes szolgáltatás felé csinál az eszközöd egy requestet, akkor minimum egy access.log-ba bekerülsz, nem?

Nem igazán érted szerintem miről van szó. Az user használja az Apple által fejlesztett operációs (iOS) rendszeren az Apple által fejlesztett Safari-t. Ebben nemrég megjelent egy új feature, a Fraudulent Website Warning. Ez úgy működik, hogy az Apple továbbítja az user által meglátogatott oldalt és az user IP címét egy elemző szolgáltatónak, ami lehet a Google vagy a Tencent. Az elemző szolgáltató pedig megvizsgálja az oldalt és visszaad egy flag-et, hogy az oldal csaló-e vagy sem. Ez a normál működés.

Csakhogy, egyesekben felmerült a gyanú, hogy az Apple lepaktált a kínai kormányzattal, azért cserébe, hogy megkapta a kínai piacot, a kínaiak keresését a kínai kormány ellenőrzése alatt álló Tencent-hez irányítja, azok pedig amellett, hogy visszajelzik a kínai user által meglátogatott oldalt, egy politikai profilt is építenek róla. Meglátogatott oldalak + IP cím. Aztán, ha rendszerellenesnek látszik, akkor eljárnak ellene.

Ez nem fér össze az Apple azon ígéretével (kiadja a kínai userek adatait a kínai kormányzatnak), hogy ami az iPhone-on történik, az ott is marad.

--
trey @ gépház

Hát, ez szuper! Megszületett a szoftverhibáztatás, mint kategória!

Nem, nyugodj meg, nem az Apple! Az Apple által írt szoftver, az Apple alkalmazottai keze által, az Apple elgondolásai alapján, az Apple által kötött deal-ek mentén. Az Apple operációs rendszerében, az Apple által alapértelmezetten bekapcsolva. Tehát, NEM az Apple :D

Ezt te komolyan gondolod?

A Boeaing repülő katasztrófák meg nem a Boeing hibájából, hanem A SZOFTVER hibájából történtek! Ja, ok.

--
trey @ gépház

Értem, tehát a böngésző gyártójának a hibája, hogy az interneten olyan protokollt használunk, amelynek a működéséhez szükséges ismerni a mi címünket, hogy a kommunikáció felépülhessen. Gratulálok, a fentiekből nem tudom eldönteni, a szövegértelmezés jelent számodra kihívást, vagy ennyire nem érted, hogyan működik az internet?
Sőt, az is a böngésző hibája, ha megkérdezünk valakit valamiről, akkor az a valaki tudni fogja, hogy az a valami érdekel minket. Szóval igazából az ok-okozati viszony kitalálója is egy mocskos adatlopó szemétláda.
Bakker, én ugyan nem értem részedről ezt a fene nagy Apple utálatot, de mondjuk közöm sincs hozzá. De hogy már a gondolkozás sem megy, ez egészen új.

Ave, Saabi.

"a szövegértelmezés jelent számodra"

Ne személyeskedj, a téma nem itt merült fel először.

"vagy ennyire nem érted, hogyan működik az internet?"

Szép szalmabáb, de itt nem erről volt szó. Arról volt szó, hogy az Apple a kínai piacért cserébe benyalt a kínai kormányzatnak - VPN appok eltávolítása, tajvani zászló, kínai userek böngészési szokásai és IP címe átadva a kommunista párt cégének. Itt egy megegyezés született. Adatok, piacért cserébe. Pont. Hogy ez miért nagyobb probléma Kína esetében, mint pl. egy másik amerikai cég esetében, arról itt bővebben.

A másik probléma, hogy az Apple azt hazudja a reklámjaiban, hogy ami az iPhone-on történik, az ott is marad (mondjuk házon belül). Ez egy ordas hazugság. Lásd fent.

Most pedig ütheted tovább a technikai témájú szalmabábodat az internet működéséről, böngészőkről és IP címekről.

--
trey @ gépház

Nem érzem magam eladottnak, hiszen nem Androidot használok. Azt meg régóta tudom, ha felkeresek egy servert, akkor az tudni fogja a címet, ahonnan kerestem, szóval újdoságot ez sem jelent. Ha pedig valamilyen információt beszerzek erről a serverről, az tudni fogja, hogy mit kérdeztem tőle. Ebben sincs semmi meglepő. Hiszen pl. a HUP-on is tudni, milyen címekről lépnek be az emberek és milyen tartalmat néznek meg. Most ezen is aggódjak?

Ave, Saabi.

Totál off, és no offense, de hát miért nem lehet magyarul leírni, hogy szerver? :)
Hogy értelmeset is hozzászóljak:

> ha felkeresek egy servert, akkor az tudni fogja a címet

Itt ugye az a gáz, hogy te nem keresed fel a szervert, a böngésző keresi fel számodra potenciálisan úgy, hogy nem is tudsz róla.

> Ez nem fér össze az Apple azon ígéretével (kiadja a kínai userek adatait a kínai kormányzatnak), hogy ami az iPhone-on történik, az ott is marad.

De ilyet az apple amúgy se tudna megígérni. Ha meglátogatsz egy weboldalt minimum az oldal tulajdonosa és az isp-d tudni fog róla, és tipikusan még egy(pár) ad/tracking/social network company.

> Nem igazán érted szerintem miről van szó.

Nézd, az aggodalom amit kifejtesz jogos lehet, és értem, hogy nagyon bizonygatni akarod, csakhogy a mondanivalóm nem erről szól, hanem arról, hogy egy feltételes módot te kijelentő módként fordítottál. Ennyi, se több, se kevesebb, a többit te látod bele.

Úgy tűnik, a szövegértelmezési nehézség már IT-s berkekben is felültötte a fejét. Vagy csak már nagy szükség volt egy újabb Apple fikázásra. Az már nem tűnik fel a sok okosnak, hogy _minden_ úgy kommunikál a neten, hogy az IP címét ismerteti, különben nehezen kapna választ.

Ave, Saabi.

hát igen, sux hogy csak safari van apple cuccokon böngészőnek...

--
GPLv3-as hozzászólás.

Ez igy nem fedi a valosagot. Van rengeteg bongeszo a storeban. Sajat bongeszo es javascript motort nem keszithetsz, csak a gyari UIWebView es a WKWebView objektumokra epulo alkalmazast fejleszthetsz. Az igy elkeszitett alkalmazasba csak a fejleszton mulik, hogy milyen fraudulent ellenorzot helyez el. Tehat az uiwebview/wkwebview korlatozas ezt a dolgot pont nem erinti.

Rohadtul unom már ezeket a híreket, Apple-töl függetlenül is, hogy mi mennyire nem biztonságos, kémkedik, stb... minden szar, rohadt kapitalizmus, profit, userek le vannak szarva, stb...

Nem hiszem, hogy bármin meg kell lepödni manapság. Szerintem az már egy baromi nagy eredmény, hogy nem lövöldöznek határainkon belül idegenek, ld. Kurdisztán. Szóval, béke van. Ez a legnagyobb kincs.

Ha meg valaki biztonságot, privacy-t szeretne, akkor dobja ki -többek között- az Internetet is az életéböl.

--
robyboy

Túl jó helyen élsz! Elmondom mire gondolok.

Nem mindegy, hogy a megfigyelést ki végzi. Az, hogy a Google téged követ, profilt épít, tudni akarja mire keresel stb. és ezt haszonszerzési (gazdasági értelemben) céllal végzi, az sem szép.

Viszont itt, a kínai állampolgárok megfigyelése politikai céllal történik. Ez egy sokkal keményebb téma. Ilyen országokban nem a vásárlási szokásaid megfigyelésére megy ki a játék, hanem ha ellenséget látnak benned, akkor életfogytiglani börtön vagy akár teljes megsemmisítés is lehet a vége. Lásd: Jamal Khashoggi ügye, akinek a hulláját még mindig keresik, de jó eséllyel sosem lesz meg.

--
trey @ gépház

....illetve IP címért is átküldheti a kínai Tencent Company vállalatnak:.....

IP címért?

valaki lecci hamozza mar ki az infot, hogy most akkor mikor es hova kuld? mindket helyre megy a safebrowse lekerdezes? vagy a kinai usereknek a tencenthez, mindenki masnal a googlehez? ha mindket helyre megy, mivan ha mast valaszol vissza a ket hely?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Itt egy részletesebb leírás arról, hogy hogyan működik a safebrowsing. Ez alapján azért nem egészen úgy történik a dolog, hogy a safebrowsing szolgáltató komplett listát kap a historyból.

https://blog.cryptographyengineering.com/2019/10/13/dear-apple-safe-bro…

És úgy látszik, csak a kínai lokációjú telefonok használják a 10cent safebrowsinget:

https://preview.tinyurl.com/yytrhrxw

Van nagyobb baj is a Mennyei Birodalommal, és az a céges szellemi tulajdont, üzleti titkot, kutatás-fejlesztési projektetket érint.
Egy ottani jogrendszerrel, jogtanácsadással foglalkozó blog fejtette ki, hogy az új kínai kiberbiztonsági rendszer gyakorlatilag tiltani fogja az amerikai/európai anyavállalatok, illetve a kínai leányvállalatok, és azok kínai adatközpontjai között intranetet létrehozó vállalati VPN használatát. De más titkosított kommunikációt is. Minden céges fejlesztés-kutatási anyag, szellemi tulajdon, üzleti titok digitális kommunikációja csak a kínai hatóságok által engedélyezett és monitorozott, közvetlenül megfigyelhető és elemezhető hálózaton mehet keresztül az országban, és hagyhatja el az országot, vagy jöhet be az országba. Ezen információkat a kínai hatóságok megoszthatják egymás közt, akár a néphadsereghez is eljuthat, mely ha indirekten is, a nyugati cégek esetében nemzetbiztonságot veszélyeztető bűncselekmény is lehet.
Ez gyakorlatilag államilag kierőszakolt, legalizált állami ipari kémkedés.

Az első cikk:
https://www.chinalawblog.com/2019/09/chinas-new-cybersecurity-program-n…
És a felmerült kérdéseket kifejtő followup:
https://www.chinalawblog.com/2019/10/chinas-new-cybersecurity-system-th…

Szép Új Világ(rend lesz, ha beledöglünk is). Ideje tanulni a mandarint. :(

Moszkvában merciket... tipikus esete.

https://9to5mac.com/2019/10/14/apple-responds-to-report-on-sending-user…

A lényegi rész:

"Update: We’ve learned more specifics about how Safari’s fraudulent website warnings work and why actual URLs aren’t shared with third-parties.

The process to check whether a website matches a list of known malicious sites happens before Safari loads a URL and the matching process starts by checking just hashed prefixes.

If Safari does see a match of the hashed prefix, it will send the hash to the safe browsing provider, Google or Tencent, to request the full list of URLs that have matched the prefix.

Since Safari talks directly with Google or Tencent for the request, they do receive the device’s IP address. After Safari gets the full list of malicious URLs matching the prefix, it checks if there is a full match on-device so the actual URL is never shared with the safe browsing provider."

Az első körös ellenőrzés nincs kifejtve, de az is teljes mértékben az eszközön történik, az ehhez szükséges (kisebb méretű db-t) frissíti néha a Safari. Ja és igen, mainland China régióbeállítás esetén csak a Tencentet használja, egyéb esetben csak a Google-t.

Ez semmit sem magyaráz meg, semmit sem tesz semmissé. Ez egy maszatolás.

Amíg a tiszta, technikai működést nem teszik nyilvánossá, milyen algoritmussal hash-elnek, hogyan történik a folyamat, pontosan milyen adatok, mikor, hova jutnak, azt ott hol és mennyi ideig tárolják, addig alapos a gyanú, hogy ez egy további eszköz a kínai államapparátus kezében arra, hogy megfigyelje állampolgárait. Komolyan elhiszed, hogy a Tencent írt egy levelet Kaliforniába, hogy itt van ez a jó kis telefonotok, rajta az OS-sel, küldenénk hozzá egy patchet, hogy a kínai felhasználók védettek legyenek, mert mi ilyen jófejek vagyunk? Ehhez felhúztunk egy komplett infrastruktrúrát stb. Mert ti egy fasza kis profitorientált cég vagytok.

Hát, persze. :D

Vagy szerinted, hogyan kell elképzelni a kínaiak motivációját erre nézve?

--
trey @ gépház

Csak józan paraszti ésszel végiggondolva: az csak látható, ha küld valamit, márpedig normál esetben nem kellene neki, hiszen csak a helyi db-ben keresgél, és csak kivételes esetben fordul a nagyobb, online db-hez, aminek azonnal kell is hogy lássuk a nyomát egy warning üzenet formájában. Szóval ez az állítás részükről, és ha ez egy hazugság, akkor az gyorsan leleplezhető.

Mindenesetre azért azt talán beismerhetjük, hogy elég távol kerültünk az eredeti állítástól. Legalábbis ha jól értelek, akkor már csak annyi a baj, hogy ha úgy van ahogy mondják, akkor az oké, de miért nincs róla dokumentáció/specifikáció?

Ha lenne, elhinnéd? Abban is azt hazudnak amit akarnak.... Ugyanakkor ettől még lehetne ilyen, ezt nem vitatom. Viszont azt továbbra is tartom, hogy egyszerű eszközökkel, és közepes informatikai tudással 1 óra alatt ellenőrizhető a dolog, és nyilván ezt meg is fogják tenni nagyon sokan, dühöngeni és köpködni addig nem érdemes.

Nem kerültünk messze semmilyen eredeti állításról. Az Apple átadja a kínai állampolgárok adatait a kínai kormánynak. Ezt egy megegyezés része:

https://www.theverge.com/2018/7/18/17587304/apple-icloud-china-user-dat…

Több helyen történik az adatátadás. Ezekből a forrásokból érkező adatokból a kínai államapparátus profilt tud építeni. Nem ebből az egyből áll majd össze a nagy adat egy-egy emberről.

Hogy számodra ez nem valószínű? Szíved joga.

Amerikában, a szabadság földjén, megcsináltak ilyen dolgokat. Snowden név gondolom mond neked valamit. A kínaiak pontosan ezt csinálják államérdekekre hivatkozva.

--
trey @ gépház

"Nem ebből az egyből áll majd össze a nagy adat egy-egy emberről."

Viszont eléggé úgy tűnik, hogy ez az egy biztosan nem az aminek fentebb tituláltad, én pedig csak erre reagáltam. Az, hogy addig mozgatod a célpontot amíg igazad nem lesz, egy tök jó dolog, és egyet is értek a fenti véleményeddel, de nekem erre sajnos nincs időm.

Én kérek elnézést a tudatlanságomért, de ez ugyanaz a Tencent, ami Hollywoodban Tencent Pictures néven fut, és Hollywoodon keresztül szerintem amúgy is majdnem mindenhez hozzáfér?

"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol