جنجال اخیر سافاری پیچیده‌تر از آن‌ است که به‌نظر می‌رسد

چند روز پیش، یکی از محققان حوزه‌ی رمزنگاری و از پروفسورهای دانشگاه جانز هاپکینز در گزارشی مدعی شد اپل داده‌های کاربران مرورگر سافاری در سیستم‌عامل iOS را برای شرکت چینی تنسنت ارسال می‌کند که ظاهرا ارتباطات تنگاتنگی با دولت این کشور دارد. انتشار این گزارش باعث تعجب بسیاری از کاربرانی شد که همواره مدعی بودند اپل در هر شرایطی، حریم خصوصی کاربرانش را در اولویت قرار می‌دهد و آن را نقض نمی‌کند. 

محققی کدی خاص در iOS 13 پیدا کرد و از روی آن متوجه شد اپل به‌منظور حفاظت از کاربران مروگر سافاری دربرابر وب‌سایت‌های جعلی و کلاه‌برداری، از پروتکل امنیتی ویژه‌ی شرکت تنسنت با نام Tencent Safe Browsing استفاده می‌کند. این محقق گفته بود تنسنت ازطریق این پروتکل، به آدرس IP کاربران اپل دسترسی پیدا می‌کند و همین موضوع نگرانی‌های متعددی به‌دنبال داشت. انتشار این خبر باردیگر ما را به‌یاد مشکلات اخیر اپل با نظارت و سانسور محتوای دولت چین می‌اندازد؛.درضمن این خبر ابعاد جدیدی از نقض حریم خصوصی را در فضای وب آشکار می‌کند.

Fraudulent Website Warning همان‌طورکه از نامش پیدا است، زمانی به‌کار می‌افتد که کاربر در حال بازدید از وب‌سایتی مخرب باشد. درواقع، اگر کاربر بخواهد ازطریق مروگر سافاری وارد چنین وب‌سایتی شود، اخطار Fraudulent Website Warning روی صفحه ظاهر می‌شود و به کاربر پیشنهاد می‌کند صفحه را ببندد. 

روند شناسایی سایت‌های مخرب ازطریق سافاری چندان پیچیده نیست. سافاری فهرست سیاهی شامل وب‌سایت‌های مخرب را از پروتکل‌های امنیتی گوگل یا تنسنت دریافت می‌کند و آن را با آدرس وب‌سایتی مقایسه می‌کند که کاربر در حال تلاش برای مشاهده‌ی آن است. اگر تطبیقی مشاهده شد، پیام Fraudulent Website Warning روی صفحه ظاهر می‌شود. در گذشته اپل برای استفاده از این قابلیت فقط به پروتکل امنیتی گوگل، یعنی Google Safe Browsing، متکی بود؛ اما طبق بیانیه‌ی رسمی اپل، این شرکت اکنون درکنار پروتکل گوگل از پروتکل امنیتی تنسنت نیز استفاده می‌کند. 

در بدترین حالت ممکن، مرورگر می‌تواند تک‌تک لینک‌هایی که روی آن‌ها کلیک می‌کنید، برای این پروتکل‌ها بفرستد تا مخرب بودن یا نبودن آن‌ها را بررسی کند؛ اتفاقی که باعث می‌شود تمام صفحات وبی که از آن‌ها بازدید کرده‌اید،‌ در یک‌جا جمع شوند و به‌نوعی پروفایلی از رفتارتان در فضای وب برایتان ایجاد شود. نکته‌ی بدتر این است که پروتکل یادشده به آدرس IPتان نیز دسترسی دارد.

تا جایی که اطلاع داریم، عملکرد سافاری بدین‌صورت نیست. با‌وجوداین‌، همکاری تجاری اپل با تنسنت باعث بروز نگرانی‌هایی درزمینه‌ی نقض حریم خصوصی شده است. درواقع، برخی افراد مدعی‌اند این دو شرکت بزرگ ممکن است از پروتکل امنیتی مربوط به جست‌و‌جوی امن در فضای وب استفاده‌‌های نابجایی کنند. تنسنت شرکتی شناخته‌شده در چین به‌شمار می‌آید و در توسعه‌ی اپلیکیشن‌های مختلفی دست داشته است.

پیام‌رسان وی‌چت و مرورگر QQ دو نمونه از اپلیکیشن‌های ساخت تنسنت هستند. این شرکت همچون چند شرکت چینی دیگر، سانسورهای خاصی در راستای قوانین دولت چین در اپلیکیشن‌هایش اعمال می‌کند. درضمن، اخیرا گزارش‌های متعددی منتشر شده بود که براساس آن‌ها تنسنت اطلاعات کاربرانش را دراختیار دولت چین قرار داده است.

به‌دنبال انتشار نخستین اخبار مربوط به استفاده‌ی سافاری از پروتکل امنیتی تنسنت و نقض احتمالی حریم خصوصی کاربران iOS،‌ اپل به‌سرعت دست‌ به‌ کار شد و بیانیه‌ای دراختیار برخی رسانه‌ها قرار داد. در بیانیه‌ی منتشرشده، اپل به‌وضوح با تئوری یادشده مخالفت کرد و گفت گوگل و تنسنت به تاریخچه‌ی جست‌و‌جوی کاربر در فضای وب دسترسی ندارند. درواقع طبق ادعای اپل، هیچ‌گاه URL واقعی وب‌سایتی که کاربر از آن بازدید می‌کند، برای گوگل و تنسنت ارسال نمی‌شود. بیانیه‌ی اپل را درادامه می‌توانید بخوانید:

اپل از حریم خصوصی کاربر محافظت می‌کند و ازطریق قابلیت Fraudulent Website Warning (اخطار وب‌سایت‌های جعلی) مرورگر سافاری، داده‌های شما را به‌شکلی امن نگه‌داری می‌کند. Fraudulent Website Warning قابلیتی امنیتی است که وب‌سایت‌هایی را پیدا و نشانه‌گذاری می‌کند که به‌طور طبیعی به‌عنوان وب‌سایت مخرب شناسایی می‌شوند. درواقع، سافاری فهرستی شامل وب‌سایت‌هایی را در خود دارد که به‌عنوان وب‌سایت‌های مخرب شناخته‌شده‌اند. وقتی این قابلیت فعال باشد، سافاری URL آن وب‌سایت را با وب‌سایت‌های مخرب شناخته‌شده مقایسه می‌کند و اگر تشخیص دهد آدرس‌هایی که کاربر از آن بازدید می‌کند، به مواردی نظیر محتوایی جعلی و کلاه‌بردارانه مثل فیشینگ مشکوک است، اخطاری روی صفحه ظاهر می‌کند. سافاری برای انجام این کار، فهرستی از وب‌سایت‌های مخرب را از گوگل دریافت می‌کند. به‌علاوه، این فهرست برای دستگاه‌هایی ازطریق تنسنت ارسال می‌شود که کد منطقه‌ای آن‌ها برای کشور چین ثبت شده باشد. URL واقعی وب‌سایتی که در حال بازدید از آن هستید، هیچ‌گاه با ارائه‌دهندگان پروتکل‌های امنیتی به‌اشتراک گذاشته نمی‌شود و درضمن، امکان خاموش‌کردن این قابلیت وجود دارد.

فردی به نمایندگی از اپل جزئیات بیشتری در‌این‌باره دراختیار رسانه‌ی ZDNet قرار داده است. ظاهرا گوگل و تنسنت یک کپی از دیتابیسی به سافاری ارسال می‌کنند که شامل فهرستی از وب‌سایت‌های شناخته‌شده‌ی مخرب است و به مروگر اجازه می‌دهند URL وب‌سایتی که کاربر در حال تلاش برای دیدن آن است، با فهرست URLهای دیتابیس پروتکل‌های امنیتی گوگل و تنسنت مقایسه کند.

متیو گرین، پروفسور دانشگاه جانز هاپکینز، دراین‌زمینه توضیحات بیشتری ارائه داد و ابعاد پیچیده‌ی جدیدی از ماجرا را مشخص کرد. او مدعی است تعاملات بین فهرست سیاه پروتکل شرکتی مثل گوگل با مرورگر سافاری به‌شکلی پیچیده صورت می‌پذیرد. اساسا گوگل هر URL غیرامن را به کد خاصی تبدیل می‌کند که به‌سادگی تشخیص‌پذیر نیست و سپس، بخش‌های اولیه‌ی کد یادشده را برای سافاری ارسال می‌کند. از این بخش‌های اولیه با نام «پیشوند URL» یاد می‌شود.

وقتی کاربر ازطریق سافاری از صفحه‌ی وب بازدید می‌کند، این مرورگر به‌صورت خودکار URL آن صفحه را هَش و پیشوندهای هش‌شده را با پیشوندهای دریافتی پروتکل گوگل یا تنسنت مقایسه می‌کند. اگر بین این پیشوندها مطابقتی مشاهده شود، سافاری از پروتکل گوگل درخواست می‌کند که فهرست کامل کدهای دارای آن پیشوند را برای این مرورگر بفرستد. گوگل این فهرست را برای سافاری ارسال می‌کند و سپس، مرورگر اپل آن فهرست جدید را به دقت بررسی می‌کند تا تطابق کاملی با URL پیدا کند که کاربر در حال بازدید از آن است. اگر تطابقی در مرحله‌ی دوم پیدا شود، اخطار وب‌سایت جعلی روی صفحه ظاهر می‌شود.

اگر شرکتی نظیر گوگل که درزمینه‌ی ارائه‌ی فهرست سیاه وب‌سایت‌های مخرب فعالیت می‌کند، اهداف خوبی در سر داشته باشد، نمی‌توانیم ادعا کنیم در‌این‌بین حریم خصوصی کاربر نقض می‌شود. در‌واقع، با فرض اینکه گوگل نخواهد از این اطلاعات سوءاستفاده کند، مشکل خاصی پیش نمی‌آید. مزیت‌های این کار با درنظرگرفتن خطرهایی بیشتر روشن می‌شود که مراجعه به وب‌سایت‌های جعلی ممکن است برای کاربر ایجاد کند.

بااین‌حال، متیو گرین مدعی شده است این اطلاعات جزئی که دراختیار گوگل و تنسنت قرار می‌گیرند، می‌توانند از میزان ناشناس‌بودن کاربر به‌مرور زمان بکاهند؛ زیرا کاربر همه‌روزه در حال بازدید از صفحات وب است و با فرض بازدید احتمالی از وب‌سایت مخرب، تقریبا همه‌روزه بخش کوچکی از URL هش‌شده دراختیار گوگل و تنسنت قرار می‌گیرند. اگر شرکت‌های ارائه‌دهنده‌ی پروتکل‌های امنیتی مربوط به جست‌و‌جوی امن در فضای وب بخواهند به‌طور فعالانه کاربران را ردیابی کنند، این موضوع می‌تواند مشکل‌ساز شود و نگرانی‌های بیشتری درزمینه‌ی حریم خصوصی به‌دنبال داشته باشد.

می‌توانیم شفاف‌سازی‌نشدن این قضیه را اشتباه جزئی اپل به‌شمار آوریم. درهرصورت، نباید فراموش کنیم بسیاری از شرکت‌های آمریکایی در حال همکاری تجاری با تنسنت هستند. در اوایل سال جاری میلادی، تنسنت ۱۵۰ میلیون دلار در ردیت (Reddit) سرمایه‌گذاری کرد. افزون‌بر‌این‌، این شرکت پیش‌تر در شرکت‌های دیگری نیز سرمایه‌گذاری کرده است که ازجمله معروف‌ترینِ آن‌ها اپیک گیمز (Epic Games)، توسعه‌دهنده‌ی بازی فورتنایت است. تنسنت به‌طور کلی نشان داده است علاقه‌ی بسیار زیادی به سرمایه‌گذاری در شرکت‌های فعال در حوزه‌ی گیمینگ دارد. 

گرچه به‌عقیده‌ی بسیاری از کارشناسان، چین در مقایسه با ایالات متحده‌ی آمریکا دولتی اقتدارگراتر به‌شمار می‌آید و قوانین سخت‌گیرانه‌تری دارد، نباید فراموش کنیم شرکت‌های فناوری‌محور آمریکایی مدت‌ها است با محدودیت‌های دولت این کشور مواجه‌اند و با مشکلات متعددی در‌این‌زمینه دست‌و‌پنجه نرم می‌کنند. درواقع، شرکت‌های آمریکایی به‌دفعات به تبعیت از قوانین دولت این کشور مجبور شده‌اند. 

از سال گذشته، اپل ذخیره‌سازی برخی از کلیدهای رمزنگاری آی‌کلاود را در چین آغاز کرد که این موضوع نگرانی‌هایی به‌دنبال داشت. عده‌ای از کارشناسان معتقد بودند انجام این کار باعث می‌شود کلیدهای رمزنگاری آی‌کلاود ازلحاظ امنیتی آسیب‌پذیر شوند و دولت چین به‌ آن‌ها دسترسی پیدا کند. حتی اخیرا اپل یکی از اپلیکیشن‌های نقشه‌یابی را از اپ‌استور حذف کرد. گفته می‌شد این اپلیکیشن به ساکنان هنگ‌کنگ کمک کرده است از محل ایستگاه‌های ایست و بازرسی پلیس باخبر شوند. افزون‌بر‌این، اپل مدتی پیش اموجی مربوط به پرچم کشور تایوان را در هنگ‌کنگ و ماکائو برای کاربران iOS مخفی کرده بود.

علاوه‌بر آنچه گفته شد، اپل همواره خودش را شرکتی قلمداد کرده که اهمیت بسیار زیادی برای حریم خصوصی کاربرانش قائل است. درحقیقت، کوپرتینویی‌ها بارها ازطریق حریم خصوصی و امنیت درخورتوجه کاربرانش سعی کرده است خودش را از بسیاری دیگر از شرکت‌های بزرگ فناوری‌محور جدا کند. بنابراین، تمایل اپل برای سازش با قوانین دولت چین کمی عجیب به‌نظر می‌رسد و به‌عقیده‌ی کارشناسان، حرکتی منفی این شرکت به‌شمار می‌آید. 

مشکلات اخیر اپل با مرورگر سافاری، زنگ‌خطری برای حریم خصوصی در دنیای وب به‌صدا درمی‌آورد. درواقع، این موضوع حریم خصوصی در فضای وب را وارد مرحله‌ی جدیدی می‌کند. اکنون شاید حفاظت از حریم خصوصی کاربران در فضای آنلاین کار بسیار پیچیده‌تر و سخت‌تری باشد و هم‌زمان نگرانی‌های مرتبط به آن نیز بیشتر از قبل هستند؛ به‌ویژه به این دلیل که در دنیای امروز، چند شرکت شناخته‌شده بیشترین کنترل را روی فضای آنلاین دارند.

اگر شرکت‌ها بخواهند با ردیابی رفتار کاربران در فضای وب از داده‌های به‌دست‌آمده به‌منظور نشان‌دادن تبلیغات هدفمند به آن‌ها استفاده یا به هر شکل دیگری بخواهند ازطریق ردیابی رفتار کاربران درآمدزایی کنند، شاید محکوم‌کردن آن‌ها کار ساده‌ای باشد. بااین‌حال، نباید فراموش کنیم همین سیستم‌ها نیز به‌نوبه‌ی خودشان مزیت‌های بسیار زیادی برای کاربران وب دارند. مشکل اینجا است که کاربران وب معمولا نمی‌دانند در حال دست‌و‌پنجه نرم‌کردن با چه قوانین و مقرراتی هستند.

دیدگاه شما کاربران زومیت درباره‌ی مسائل اپل و سافاری چیست؟