Safari en iOS está comenzando a avisar a sus usuarios en China de la inclusión de Tencent como motor de su filtro 'Navegación Segura'. El añadido es visto por muchos como una violación de la privacidad, ya que "podrían registrar tu dirección IP", según alerta el propio navegador de Apple en su actualización.
Este añade a Google Safe Browsing el servicio propio de Tencent, Tencent Safe Browsing, según desvelan en el blog de Cryptography Engineering. Si bien la información de la página web a la que se accede es necesaria para el funcionamiento de estos servicios –que contrastan la web que visitamos con marcadores que puedan determinarlo como fraudulento–, que Apple afirme ahora que se proporciona esta IP desde la que se visitan deja una puerta abierta a la privacidad.
Direcciones hasheadas
Esto es preocupante de cara a los usuarios en China, ya que este método podría permitir a Tencent –con más lazos y obligaciones respecto al Gobierno chino– realizar un seguimiento de las webs a las que acceden los usuarios, facilitando un perfilado de los mismos.
Además de ese detalle, Apple no había proporcionado más información acerca del funcionamiento de esta característica, de los mecanismos que protegen la privacidad y seguridad de sus usuarios en China. Y es que esta característica también aparece en los dispositivos registrados como estadounidenses.
La característica de 'Safe Browsing' o navegación segura permite a los usuarios evitar aquellos sitios que Google –o ahora Tencent– considera maliciosos. Estos pueden serlo por diversos motivos, entre ellos el intento de suplantación o phising, así como intentar inyectar código malicioso en los dispositivos que acceden a ellos.
La parte conflictiva se encontraría en que si nuestro navegador consulta todas y cada una de las URL que visitamos a estos proveedores, estos pueden realizar un perfilado y contrastarlo con el resto de información recopilada para descubrir nuestra identidad.
Apple ha afirmado en un comunicado que "la dirección real de una URD que visites nunca se comparte con un proveedor de navegación segura y esta característica puede ser desactivada". Apple asegura ahora que simplemente contrasta la URL que se visitan con una lista procedente de Google, que es proporcionada por Tencent en el caso de que la región del dispositivo esté fijada a China continental.
Parece entonces que Apple sí comparte una dirección procesada –o hasheada– a partir de la URL original que visitamos con estos proveedores, por lo que no podrían conocer el historial de los usuarios de forma directa. Lo que sí que parece claro es que junto a este hash, Apple comparte la IP del usuario con Google y Tencent, por lo que, según cuenta Matthew Green en Cryptography Engineering, podrían acabar desanonimizando la identidad de este.