A controvérsia de privacidade da Apple Tencent é mais complicada do que parece

[ad_1]

  

No final da semana passada, os advogados de privacidade advertiram que a Apple estava enviando dados de usuários do iOS para a empresa chinesa Tencent, um desenvolvimento alarmante para quem aceitou as promessas de privacidade da empresa pelo valor de face. Uma observação no iOS 13 mencionou que seu navegador Safari usa o sistema de Navegação segura da Tencent para ajudar a combater páginas maliciosas – mas a Tencent pode registrar endereços IP no processo. Embora isso ocorra por meses ou ou mesmo anos as notícias lançam uma luz dura sobre as recentes lutas da Apple com vigilância e censura na China – e os problemas maiores com privacidade na Web.

Os problemas da Apple são baseados em um recurso iOS incontroverso: a opção "Aviso de site fraudulento" do Safari. O Aviso de site fraudulento, como o nome pode sugerir, avisa os usuários quando eles estão prestes a visitar um site conhecido de phishing ou malware. O Safari identifica esses sites através da verificação cruzada do tráfego da web dos usuários em uma lista negra externa. No passado, esse costumava ser o programa de Navegação segura do Google. De acordo com um aviso do iOS, a Apple agora também está usando uma lista negra da Tencent Safe Browsing.

Essas listas negras são ótimas para alertar os usuários sobre sites ruins. Mas eles também podem ser hipoteticamente usados ​​para rastrear usuários. Na pior das hipóteses, um navegador pode enviar diretamente todos os links clicados para serem verificados em uma lista negra – o que criaria um registro abrangente de suas atividades na Internet, vinculado ao seu endereço IP.

Até onde sabemos, o Safari não está fazendo nada assim. Mas a parceria da Apple com a Tencent ainda gerou receios de que a enorme empresa de tecnologia e mídia possa estar abusando do sistema. A Tencent executa uma variedade de aplicativos na China, incluindo o serviço de mensagens WeChat e o QQ Browser. E como várias outras empresas chinesas censura seus aplicativos e supostamente repassou informações do usuário ao governo chinês.

A Apple argumentou veementemente contra essa teoria. Em um comunicado ao The Verge afirmou que a Tencent e o Google não estão recebendo listas do histórico de navegação na web dos usuários:

“A Apple protege a privacidade do usuário e protege seus dados com o Safari Fraudulent Website Warning, um recurso de segurança que sinaliza sites conhecidos por serem maliciosos por natureza. Quando o recurso está ativado, o Safari verifica o URL do site em relação a listas de sites conhecidos e exibe um aviso se houver suspeita de que o URL que o usuário está visitando é de conduta fraudulenta, como phishing. Para realizar essa tarefa, o Safari recebe do Google uma lista de sites conhecidos como maliciosos e, para dispositivos com o código de região definido para a China continental, recebe uma lista da Tencent. O URL real de um site que você visita nunca é compartilhado com um provedor de navegação seguro e o recurso pode ser desativado. ”

A Apple ofereceu ZDNet uma descrição adicional de como o sistema funciona. Ele afirma que o Google e a Tencent estão "enviando uma cópia do banco de dados para o navegador de um usuário e permitindo que o navegador verifique o URL nesse banco de dados local", para que o tráfego nunca chegue a essas empresas. Ele também diz que a lista negra da Tencent é usada apenas na China continental, onde os domínios do Google são proibidos.

Criptógrafo Johns Hopkins Matthew Green pintou um retrato mais complexo do sistema Safe Browsing, no entanto. Ele observa que o Google, por exemplo, conta com uma interação complexa entre a lista negra e o Safari. Basicamente, o Google faz o hash de cada URL não seguro em um código que não o identifique explicitamente e envia ao Safari as primeiras seções desses hashes, conhecidas como "prefixos". Quando um usuário visita uma página da Web, o Safari faz o hash de seu URL e verifica o prefixo em relação a sua lista. Se houver uma correspondência, o Safari solicitará ao Google todos os hashes que incluem esse prefixo. O Google entrega e o Safari verifica essa lista menor para uma correspondência completa – depois sinaliza a página se encontrar uma.

Isso significa que o Google nunca vê um hash completo do URL e, em muitos casos, não recebe nenhuma informação. Porém, quando o Safari encontra um prefixo correspondente e solicita mais hashes ao Google, ele revela o endereço IP do usuário, bem como um hash parcial para qualquer página que ele esteja visitando.

Se um provedor de lista negra como o Google está operando de boa fé, isso oferece uma privacidade razoavelmente boa – especialmente contra os perigos reais de sites maliciosos. Mas Green argumentou que essas pequenas informações ainda podem corroer o anonimato dos usuários enquanto eles navegam na Web dia após dia. Se um provedor de navegação segura estiver tentando rastrear pessoas, isso pode ser um problema. Ele não concluiu que Tencent está fazendo isso, mas poderia estar fazendo isso. Como resultado, Green acredita que a Apple deveria ter sido mais transparente sobre o fato de estar trabalhando com a empresa.

Normalmente, isso pode ser considerado um passo em falso menor da Apple. Afinal, muitas empresas americanas trabalham com a Tencent. ( A empresa liderou uma rodada de financiamento de US $ 150 milhões para o Reddit no início deste ano, e já investiu anteriormente no Epic, criador do Fortnite entre e muitas outras empresas de jogos em todo o mundo . E, embora o governo da China seja mais draconiano e autoritário do que o americano, as empresas de tecnologia têm uma longa e preocupante história de conformidade com os pedidos de vigilância estatal dos EUA. Google e Apple estavam ambos envolvidos no PRISM, o abrangente programa de espionagem da web da Agência de Segurança Nacional .

Mas as notícias estão chegando, enquanto a Apple enfrenta duras críticas por suas concessões muito reais ao governo chinês. A empresa começou a armazenar algumas chaves de criptografia do iCloud na China no ano passado, apesar dos temores de que isso possa torná-las vulneráveis ​​à apreensão do governo. Mais recentemente, removeu um aplicativo de mapeamento que ajudou os moradores de Hong Kong a evitar os postos de controle da polícia em meio a uma repressão aos protestos pró-democracia. Ele também ocultou o emoji de bandeira de Taiwan para usuários de iOS em Hong Kong ou Macau e supostamente baniu o aplicativo de notícias Quartz [19459224] de sua App Store chinesa na loja da App Store em Hong Kong Cobertura de protesto em Kong.

Além disso, a Apple costuma usar privacidade e segurança para se diferenciar de outras empresas de tecnologia. Portanto, sua disposição de se comprometer na China tem sido um ponto fraco notável, prontamente explorado por concorrentes como o Facebook.

A história maior aqui não é sobre nenhuma empresa. É sobre a dificuldade de obter privacidade significativa online, especialmente quando algumas grandes empresas controlam grande parte da Internet. É fácil condenar o rastreamento quando é usado para publicidade direcionada ou esquemas semelhantes de ganhar dinheiro, mas esses sistemas de segurança centralizados são incrivelmente úteis para quem navega na web. Mas os usuários geralmente não entendem as compensações que estão fazendo – mesmo quando essas justificativas são justificadas para impedir ameaças sérias como phishing e malware.

[ad_2]

Source link



Os comentários estão desativados.