No final da semana passada, os defensores da privacidade alertaram que Apple estava enviando dados de usuários do iOS para a empresa chinesa Tencent, um desenvolvimento alarmante para quem cumpriu as promessas de privacidade da empresa pelo valor de face. Uma observação no iOS 13 mencionou que seu navegador Safari usa o sistema de Navegação segura da Tencent para ajudar a combater páginas maliciosas – mas a Tencent pode registrar endereços IP no processo. Embora isso ocorra há meses ou até anos, as notícias lançam uma luz dura sobre AppleAs recentes lutas com vigilância e censura na China – e os maiores problemas com a privacidade na web.
AppleOs problemas são baseados em um recurso iOS incontroverso: a opção “Aviso de site fraudulento” do Safari. O Aviso de site fraudulento, como o nome pode sugerir, avisa os usuários quando eles estão prestes a visitar um site conhecido de phishing ou malware. O Safari identifica esses sites através da verificação cruzada do tráfego da web dos usuários em uma lista negra externa. No passado, esse costumava ser o programa de Navegação segura do Google. De acordo com um aviso do iOS, no entanto, Apple agora também está usando uma lista negra da Navegação segura Tencent.
Essas listas negras são ótimas para alertar os usuários sobre sites ruins. Mas eles também podem ser hipoteticamente usados para rastrear usuários. Na pior das hipóteses, um navegador pode enviar diretamente todos os links clicados para serem verificados em uma lista negra – o que criaria um registro abrangente de suas atividades na Internet, vinculado ao seu endereço IP.
Até onde sabemos, o Safari não está fazendo nada assim. Mas AppleA parceria da Tencent ainda gerou receios de que a enorme empresa de tecnologia e mídia possa estar abusando do sistema. A Tencent executa uma variedade de aplicativos na China, incluindo o serviço de mensagens WeChat e o QQ Browser. E, como várias outras empresas chinesas, censura seus aplicativos e supostamente transmitiu informações do usuário ao governo chinês.
Apple argumentou veementemente contra essa teoria. Em uma declaração para The Verge, afirmou que a Tencent e o Google não estão recebendo listas do histórico de navegação na web dos usuários:
“Apple protege a privacidade do usuário e protege seus dados com o Safari Fraudulent Website Warning, um recurso de segurança que sinaliza sites conhecidos por serem maliciosos por natureza. Quando o recurso está ativado, o Safari verifica o URL do site em relação a listas de sites conhecidos e exibe um aviso se houver suspeita de que o URL que o usuário está visitando é de conduta fraudulenta, como phishing. Para realizar essa tarefa, o Safari recebe do Google uma lista de sites conhecidos como maliciosos e, para dispositivos com o código de região definido para a China continental, recebe uma lista da Tencent. O URL real de um site que você visita nunca é compartilhado com um provedor de navegação seguro e o recurso pode ser desativado. ”
Apple oferecido ZDNet uma descrição adicional de como o sistema funciona. Ele afirma que o Google e a Tencent estão “enviando uma cópia do banco de dados para o navegador de um usuário e permitindo que o navegador verifique o URL nesse banco de dados local”, para que o tráfego nunca chegue a essas empresas. Ele também diz que a lista negra da Tencent é usada apenas na China continental, onde os domínios do Google são proibidos.
O criptógrafo de Johns Hopkins, Matthew Green, pintou um retrato mais complexo do sistema de Navegação segura, no entanto. Ele observa que o Google, por exemplo, conta com uma interação complexa entre a lista negra e o Safari. Basicamente, o Google faz o hash de cada URL não seguro em um código que não o identifica explicitamente e envia ao Safari as primeiras seções desses hashes, conhecidas como “prefixos”. Quando um usuário visita uma página da Web, o Safari faz o hash de seu URL e verifica o prefixo em sua lista. Se houver uma correspondência, o Safari solicitará ao Google todos os hashes que incluem esse prefixo. O Google entrega e o Safari verifica essa lista menor para uma correspondência completa – depois sinaliza a página, se encontrar uma.
Isso significa que o Google nunca vê um hash completo do URL e, em muitos casos, não recebe nenhuma informação. Mas quando o Safari encontra um prefixo correspondente e solicita mais hashes ao Google, ele revela o endereço IP do usuário, bem como um hash parcial para qualquer página que ele esteja visitando.
Se um provedor de lista negra como o Google está operando de boa fé, isso oferece uma privacidade razoavelmente boa – especialmente contra os perigos reais de sites maliciosos. Mas Green argumentou que essas pequenas informações ainda podem corroer o anonimato dos usuários enquanto eles navegam na Web dia após dia. Se um provedor de navegação segura estiver tentando rastrear pessoas, isso pode ser um problema. Ele não concluiu que Tencent é fazendo isso, mas poderia ser Fazendo. Como resultado, Green acredita Apple deveria ter sido mais transparente sobre o fato de estar trabalhando com a empresa.
Normalmente, isso pode ser considerado um pequeno passo em falso do Apple. Afinal, muitas empresas americanas trabalham com a Tencent. (A empresa liderou uma rodada de financiamento de US $ 150 milhões para o Reddit no início deste ano e já investiu em Fortnite Epic, entre muitas outras empresas de jogos em todo o mundo.) E, embora o governo da China seja mais draconiano e autoritário que o dos Estados Unidos, as empresas de tecnologia têm uma longa e preocupante história de conformidade com as solicitações de vigilância estatal dos EUA. Google e Apple ambos estavam envolvidos no PRISM, o abrangente programa de espionagem da Web da Agência de Segurança Nacional.
Mas a notícia está chegando como Apple enfrenta duras críticas por suas reais concessões ao governo chinês. A empresa começou a armazenar algumas chaves de criptografia do iCloud na China no ano passado, apesar dos temores de que isso possa torná-las vulneráveis às apreensões do governo. Mais recentemente, ele removeu um aplicativo de mapeamento que ajudou os residentes de Hong Kong a evitar os postos de controle da polícia em meio a uma repressão aos protestos pró-democracia. Também ocultou o emoji de bandeira de Taiwan para usuários do iOS em Hong Kong ou Macau e supostamente proibiu o Quartzo aplicativo de notícias da sua App Store chinesa sobre a cobertura de protesto em Hong Kong.
Além disso, Apple freqüentemente usa privacidade e segurança para se diferenciar de outras empresas de tecnologia. Portanto, sua disposição de se comprometer na China tem sido um ponto fraco notável, prontamente explorado por concorrentes como Facebook.
A história maior aqui não é sobre nenhuma empresa. É sobre a dificuldade de obter privacidade significativa online, especialmente quando algumas grandes empresas controlam grande parte da Internet. É fácil condenar o rastreamento quando é usado para publicidade direcionada ou esquemas semelhantes de ganhar dinheiro, mas esses sistemas de segurança centralizados são incrivelmente úteis para quem navega na web. Mas os usuários geralmente não entendem as compensações que estão fazendo – mesmo quando essas justificativas são justificadas para evitar ameaças sérias como phishing e malware.
