2019年,Apple公司在Safari浏览器引入中国腾讯的安全浏览,使用中国腾讯维护的诈骗网站域名列表,引起轩然大波。2022年底,Apple苹果改变政策,偷偷更新了针对香港用户的Safari浏览器的隐私政策,要把香港用户的浏览网站的数据传输给腾讯,让Safari的香港用户也使用来自中国腾讯的blocklist,导致香港用户访问 gitlab.com 也出现诈骗网站警告。
Apple 使用 Safari Fraudulent Website Warning(Safari 诈骗网站警告)标记已被识辨的诈骗网站。
如你到访的网站疑似钓鱼网站,启用“诈骗网站警告”功能的Safari即会显示警告。钓鱼是一种窃取你个人资料(例如用户名称、密码和其他帐户资料)的诈骗行为。诈骗网站会伪装成正常的网站(例如银行、金融机构或电邮供应商)。到访网站前,Safari可能会将从网站地址计算出的资料传送予“Google安全浏览”和“腾讯安全浏览”以检查是否为诈骗网站。这些安全浏览供应商也可能会记录你的IP地址。
Safe Browsing工作原理是,维护一个已知诈骗网站列表,列表里的URL的256位的hash值的前32位会生成一个数据库,所有用户会下载到浏览器里,Safari浏览器每次访问都会生成URL的hash值,前32位若匹配,就去GOOGLE或腾讯的API查询,API返回所有前32位匹配的不安全URL让浏览器去识别。当用户到访怀疑是诈骗网站的 URL 时对用户显示警告讯息。
Apple公司在2019年说,Safari 会从 Google或中国腾讯接收已识辨为诈骗网站的列表。Apple公司强调区域设定为中国大陆的设备将从腾讯接收诈骗网站列表。
Apple公司的2022 年 9 月 12 日的隐私声明法律文件《 Safari與隱私權 》https://www.apple.com/hk/legal/privacy/data/zh-hk/safari/ (时光机器网页存档 https://web.archive.org/web/20221127235632/https://www.apple.com/hk/legal/privacy/data/zh-hk/safari/ )中的“詐騙網站警告”这一章节提到:
Google(和對於使用區域設定為中國大陸的使用者:騰訊)可能也會記錄你的IP位址。
Apple公司于2022 年 12 月 12 日 更新的隐私声明法律文件《 Safari與隱私權 》https://www.apple.com/tw/legal/privacy/data/zh-tw/safari/ 中的詐騙網站警告这一章节提到:
Google(對於區域設定為「中國大陸」或「香港」的用户而言也包括騰訊)接收資料時,可能也會記錄你的IP地址。
Apple公司隐私声明法律文件中多出了“或香港”三个字。而2019年的据科技新闻网站engadget的报道《Apple 正式回應 Safari 引入騰訊安全瀏覽一事》 https://chinese.engadget.com/chinese-2019-10-15-apple-safari-response.html 这篇报道说,僅有地區編碼設為中國的 iPhone 才會啟用Safari 引入騰訊安全瀏覽。
据媒体 https://qooah.com/2019/10/14/safari-send-ip-addresses-to-tencent/ 在2019年的报道,原本這項服務 Apple 只與 Google 合作,使用 Google 的資料庫作判斷。美國 Johns Hopkins 大學教授在2019年指出 https://blog.cryptographyengineering.com/2019/10/13/dear-apple-safe-browsing-might-not-be-that-safe/ Apple 在沒有通知使用者的情況之下,偷偷加入了中國的騰訊公司。就是说, Safari 現在會把網站瀏覽資訊,除了交給原有的 Google Safe Browsing 來擋惡意網站外,還會交給中國的騰訊公司的 Tencent Safe Browsing。现在又注明会把香港用户的网站瀏覽資訊,交給中國的騰訊公司。
2019年,大量媒体报道,甚至讨论如何关闭Safari的「詐騙網站警告」https://www.thenewslens.com/article/126054
2019年,据香港互聯網協會副主席、前Apple公司员工朱家昌(Chu Ka-cheong ,A.K.A. Edwin Chu))说,「Google安全瀏覽」及「騰訊安全瀏覽」的API基本上一樣,兩者可以互通,使用兩項服務所交出的資訊相同。
2022年12月30日,朱家昌在Twitter公开表示,在使用Safari访问 www.gitlab.com 的时候被提示是诈骗网站,Gitlab是一个跟Github一样的基于git仓库的web开发流程代码托管平台,是一家乌克兰的企业。但被中国的腾讯公司认为Gitlab含有未经证实的消息,该网站发布了违反国家相关法律的的内容,已为你拦截。
2019年的时候,Apple说仅仅会在中国区使用腾讯的blocklist,媒体也表示在中国访问不了Google,使用腾讯的相同API作为替代品可以理解。
2022年,苹果改变政策,让Safari的香港用户也使用了来自中国腾讯的blocklist,导致香港用户访问 gitlab.com 也出现诈骗网站警告。
gitlab的同样的在线开发协作平台github在中国也被中国遭遇DNS污染、中间人攻击。但尚未有人报告是还也被中国腾讯列入诈骗网站,有读者能测试一下吗?
佐拉的评论:
Safari Fraudulent Website Warning的初衷本来应该是保护用户,是一个针对诈骗网站进行拦截的网络服务,被中国滥用,扩大屏蔽内容范围和使用者范围,苹果公司也有连带责任。中国腾讯把 gitlab.com 视为诈骗网站,可能是因为gitlab作为一家乌克兰公司,上面有大量乌克兰开发者,亲俄罗斯的中国政府担心中国和香港开发者同情遭遇俄罗斯入侵的乌克兰,所以将gitlab列入被审查名单,要求中国腾讯设法屏蔽gitlab。
我将上面的内容转发给香港自由亚洲的记者,我觉得香港用户的浏览数据“送中”,接受 Tencent Safe Browsing的内容审查,内容审查和防火长城借苹果公司的Safari浏览器延伸到香港,苹果公司完全配合中共的不公开“法律”,经济上和政治上完全被美国当中国看待,可视为进一步的香港沦陷,自由沦陷,民主沦陷。
我觉得,有能力亲自识别URL亲自识别诈骗网站的Safari用户可以选择关闭“安全浏览”,或停用Safari浏览器,或停用Apple公司的产品。
BTW: 逻辑上来说,“危险-该网站含有未经证实的信息”这句话极为荒诞,既然“信息”会带来危险,就要让大家去证实,然后就有应对方案了嘛。另外,据我所知,信息的价值也在于不确定性,未经证实的信息更有价值。打个比方,我跟没有瞎的你说“太阳和月亮是圆的”,你不会认为这是有价值信息,会认为这是废话。
还有,据技术细节,Tencent Safe Browsing不会收集所有URL,但会知道使用者IP,因为总会有机会查询API。
据Apple的隐私声明,Safari浏览器會將所有浏览过的網址傳送給Apple并將網址儲存五年。除非你用Safari的「私密瀏覽」模式下。