Apple is onder vuur komen te liggen omdat het voor de Safe Browsing-functionaliteit van Safari niet alleen data naar Google stuurt, maar ook naar techgigant Tencent. Het lijkt er echter op dat dit alleen gebeurt bij iOS-gebruikers die China als hun land hebben ingesteld.

Het door Google ontwikkelde Safe Browsing waarschuwt gebruikers voor bekende malafide websites. Naast Chrome maken ook Safari en Firefox er gebruik van. In eerste instantie verstuurde Safe Browsing het ip-adres van de gebruiker en de url van de bezochte website naar Google. Er werd dan gekeken of het om een bekende website ging waarop de gebruiker kon worden gewaarschuwd.

Mede vanwege privacyzorgen kwam Google met een nieuwere versie van Safe Browsing. Hierbij wordt een database met ingekorte hashes (prefixes) van bekende malafide websites lokaal op de computer opgeslagen. Zodra de gebruiker een website bezoekt kijkt de browser in deze lokale database of het om een bekende malafide website gaat. De browser maakt hiervoor een hash van de url van de bezochte website en vergelijkt die met de aanwezige prefixes.

Wanneer er een hit is stuurt de browser de prefix naar de servers van Google, die dan een lijst met volledige hashes van overeenkomstige url's terugsturen, zodat de browser naar een exacte match kan zoeken. Bij het versturen van de prefix krijgt Google het ip-adres van de gebruiker te zien, en mogelijk ook andere identificerende informatie, zoals de staat van de lokale database.

"De kwetsbaarheid in deze aanpak is dat het alleen een beetje privacy biedt. De doorsnee gebruiker bezoekt niet één website, maar duizenden. Dit houdt in dat een kwaadaardige provider allerlei kleine stukjes ontvangt om die gebruiker te deanonimiseren", zegt Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University. "Een gebruiker die veel gerelateerde websites bezoekt zal geleidelijk details over zijn browsegedrag aan de provider lekken, ervan uitgaande dat de provider kwaadaardig is en de verzoeken kan koppelen."

Tencent

Reclaim The Net, een organisatie die zich inzet voor privacy, vrijheid van meningsuiting en online vrijheid, kwam vorige week met het bericht dat Apple nu naast Googles Safe Browsing ook van Tencents Safe Browsing gebruikmaakt. Hierdoor kan het bedrijf het ip-adres van gebruikers ontvangen. Volgens Green had Apple dit duidelijk aan gebruikers moeten communiceren, zonder het in de kleine lettertjes te verbergen.

"Tencent is Google niet. Hoewel ze misschien net zo betrouwbaar zijn, moeten we over dit soort aanpassingen geïnformeerd worden om een keuze te kunnen maken. Op z'n minst horen gebruikers te worden geïnformeerd voordat Apple dit soort aanpassingen doorvoert, en dus miljoenen van hun klanten vraagt om ze te vertrouwen." Green stelt dat deze aanpak van privacyproblemen gebruikers wereldwijd een slechte dienst bewijst.

Eerder besloot Apple al om de iCloud-infrastructuur naar China te verplaatsen, die standaard door Chinese gebruikers wordt gebruikt. Ook dit werd niet door Apple gecommuniceerd. Green vindt dat Apple steeds meer als twee verschillende bedrijven aanvoelt. "Eén die de vrijheid van gebruikers voorop stelt en één die de eigen gebruikers heel anders behandelt."

Op Hacker News laten verschillende gebruikers weten dat er alleen Safe Browsing-data naar Tencent wordt gestuurd als gebruikers China als hun land hebben ingesteld.