AppleA controvérsia de privacidade da Tencent é mais complicada do que parece

AppleA controvérsia de privacidade da Tencent é mais complicada do que parece 1

No final da semana passada, os defensores da privacidade alertaram que Apple estava enviando dados de usu√°rios do iOS para a empresa chinesa Tencent, um desenvolvimento alarmante para quem cumpriu as promessas de privacidade da empresa pelo valor de face. Uma observa√ß√£o no iOS 13 mencionou que seu navegador Safari usa o sistema de Navega√ß√£o segura da Tencent para ajudar a combater p√°ginas maliciosas – mas a Tencent pode registrar endere√ßos IP no processo. Embora isso ocorra h√° meses ou at√© anos, as not√≠cias lan√ßam uma luz dura sobre AppleAs recentes lutas com vigil√Ęncia e censura na China – e os maiores problemas com a privacidade na web.

AppleOs problemas s√£o baseados em um recurso iOS incontroverso: a op√ß√£o “Aviso de site fraudulento” do Safari. O Aviso de site fraudulento, como o nome pode sugerir, avisa os usu√°rios quando eles est√£o prestes a visitar um site conhecido de phishing ou malware. O Safari identifica esses sites atrav√©s da verifica√ß√£o cruzada do tr√°fego da web dos usu√°rios em uma lista negra externa. No passado, esse costumava ser o programa de Navega√ß√£o segura do Google. De acordo com um aviso do iOS, no entanto, Apple agora tamb√©m est√° usando uma lista negra da Navega√ß√£o segura Tencent.

Essas listas negras s√£o √≥timas para alertar os usu√°rios sobre sites ruins. Mas eles tamb√©m podem ser hipoteticamente usados ‚Äč‚Äčpara rastrear usu√°rios. Na pior das hip√≥teses, um navegador pode enviar diretamente todos os links clicados para serem verificados em uma lista negra – o que criaria um registro abrangente de suas atividades na Internet, vinculado ao seu endere√ßo IP.

At√© onde sabemos, o Safari n√£o est√° fazendo nada assim. Mas AppleA parceria da Tencent ainda gerou receios de que a enorme empresa de tecnologia e m√≠dia possa estar abusando do sistema. A Tencent executa uma variedade de aplicativos na China, incluindo o servi√ßo de mensagens WeChat e o QQ Browser. E, como v√°rias outras empresas chinesas, censura seus aplicativos e supostamente transmitiu informa√ß√Ķes do usu√°rio ao governo chin√™s.

Apple argumentou veementemente contra essa teoria. Em uma declaração para The Verge, afirmou que a Tencent e o Google não estão recebendo listas do histórico de navegação na web dos usuários:

“Apple protege a privacidade do usu√°rio e protege seus dados com o Safari Fraudulent Website Warning, um recurso de seguran√ßa que sinaliza sites conhecidos por serem maliciosos por natureza. Quando o recurso est√° ativado, o Safari verifica o URL do site em rela√ß√£o a listas de sites conhecidos e exibe um aviso se houver suspeita de que o URL que o usu√°rio est√° visitando √© de conduta fraudulenta, como phishing. Para realizar essa tarefa, o Safari recebe do Google uma lista de sites conhecidos como maliciosos e, para dispositivos com o c√≥digo de regi√£o definido para a China continental, recebe uma lista da Tencent. O URL real de um site que voc√™ visita nunca √© compartilhado com um provedor de navega√ß√£o seguro e o recurso pode ser desativado. ‚ÄĚ

Apple oferecido ZDNet uma descri√ß√£o adicional de como o sistema funciona. Ele afirma que o Google e a Tencent est√£o “enviando uma c√≥pia do banco de dados para o navegador de um usu√°rio e permitindo que o navegador verifique o URL nesse banco de dados local”, para que o tr√°fego nunca chegue a essas empresas. Ele tamb√©m diz que a lista negra da Tencent √© usada apenas na China continental, onde os dom√≠nios do Google s√£o proibidos.

O cript√≥grafo de Johns Hopkins, Matthew Green, pintou um retrato mais complexo do sistema de Navega√ß√£o segura, no entanto. Ele observa que o Google, por exemplo, conta com uma intera√ß√£o complexa entre a lista negra e o Safari. Basicamente, o Google faz o hash de cada URL n√£o seguro em um c√≥digo que n√£o o identifica explicitamente e envia ao Safari as primeiras se√ß√Ķes desses hashes, conhecidas como “prefixos”. Quando um usu√°rio visita uma p√°gina da Web, o Safari faz o hash de seu URL e verifica o prefixo em sua lista. Se houver uma correspond√™ncia, o Safari solicitar√° ao Google todos os hashes que incluem esse prefixo. O Google entrega e o Safari verifica essa lista menor para uma correspond√™ncia completa – depois sinaliza a p√°gina, se encontrar uma.

Isso significa que o Google nunca vê um hash completo do URL e, em muitos casos, não recebe nenhuma informação. Mas quando o Safari encontra um prefixo correspondente e solicita mais hashes ao Google, ele revela o endereço IP do usuário, bem como um hash parcial para qualquer página que ele esteja visitando.

Se um provedor de lista negra como o Google est√° operando de boa f√©, isso oferece uma privacidade razoavelmente boa – especialmente contra os perigos reais de sites maliciosos. Mas Green argumentou que essas pequenas informa√ß√Ķes ainda podem corroer o anonimato dos usu√°rios enquanto eles navegam na Web dia ap√≥s dia. Se um provedor de navega√ß√£o segura estiver tentando rastrear pessoas, isso pode ser um problema. Ele n√£o concluiu que Tencent √© fazendo isso, mas poderia ser Fazendo. Como resultado, Green acredita Apple deveria ter sido mais transparente sobre o fato de estar trabalhando com a empresa.

Normalmente, isso pode ser considerado um pequeno passo em falso do Apple. Afinal, muitas empresas americanas trabalham com a Tencent. (A empresa liderou uma rodada de financiamento de US $ 150 milh√Ķes para o Reddit no in√≠cio deste ano e j√° investiu em Fortnite Epic, entre muitas outras empresas de jogos em todo o mundo.) E, embora o governo da China seja mais draconiano e autorit√°rio que o dos Estados Unidos, as empresas de tecnologia t√™m uma longa e preocupante hist√≥ria de conformidade com as solicita√ß√Ķes de vigil√Ęncia estatal dos EUA. Google e Apple ambos estavam envolvidos no PRISM, o abrangente programa de espionagem da Web da Ag√™ncia de Seguran√ßa Nacional.

Mas a not√≠cia est√° chegando como Apple enfrenta duras cr√≠ticas por suas reais concess√Ķes ao governo chin√™s. A empresa come√ßou a armazenar algumas chaves de criptografia do iCloud na China no ano passado, apesar dos temores de que isso possa torn√°-las vulner√°veis ‚Äč‚Äč√†s apreens√Ķes do governo. Mais recentemente, ele removeu um aplicativo de mapeamento que ajudou os residentes de Hong Kong a evitar os postos de controle da pol√≠cia em meio a uma repress√£o aos protestos pr√≥-democracia. Tamb√©m ocultou o emoji de bandeira de Taiwan para usu√°rios do iOS em Hong Kong ou Macau e supostamente proibiu o Quartzo aplicativo de not√≠cias da sua App Store chinesa sobre a cobertura de protesto em Hong Kong.

Al√©m disso, Apple freq√ľentemente usa privacidade e seguran√ßa para se diferenciar de outras empresas de tecnologia. Portanto, sua disposi√ß√£o de se comprometer na China tem sido um ponto fraco not√°vel, prontamente explorado por concorrentes como Facebook.

A hist√≥ria maior aqui n√£o √© sobre nenhuma empresa. √Č sobre a dificuldade de obter privacidade significativa online, especialmente quando algumas grandes empresas controlam grande parte da Internet. √Č f√°cil condenar o rastreamento quando √© usado para publicidade direcionada ou esquemas semelhantes de ganhar dinheiro, mas esses sistemas de seguran√ßa centralizados s√£o incrivelmente √ļteis para quem navega na web. Mas os usu√°rios geralmente n√£o entendem as compensa√ß√Ķes que est√£o fazendo – mesmo quando essas justificativas s√£o justificadas para evitar amea√ßas s√©rias como phishing e malware.