苹果否认向腾讯泄露隐私数据，但怀疑者们仍有问题

本周，彭博社报道称，苹果公司正在将 iOS 用户数据发送给中国公司腾讯。作为一家以维护用户隐私作为产品卖点的企业来说，这似乎是一则骇人的丑闻。15 日凌晨，苹果公司向媒体做出了回复，表示这种说法并不属实。

包括彭博社在内的数家媒体指出，大约两年来，苹果一直将数据发送给腾讯，是因为 iPhone 和 iPad 有一项安全功能，会在用户加载网站之前警告用户网站是恶意的或是不安全的。苹果判断网站是否安全的标准是根据已知存在问题的站点列表检查地址，而该列表由腾讯和 Google 提供，前者由中国大陆用户组成，后者由世界其他地区用户组成。

iOS 13 中的一条注释提到，其 Safari 浏览器会使用腾讯的安全浏览系统来帮助对抗恶意网页，但腾讯可能会在此过程中记录 IP 地址。实际上从 2017 年的 iOS 11 开始，腾讯就已经开始为苹果提供安全浏览功能，而 Google 更早，从 2008 年开始。苹果只是在最近更新了 iOS 版本中对该功能的描述。

15 日凌晨，苹果在一则回复中写道：

苹果为美国科技媒体 ZDNet 提供了一份更详细的说明。说明中写道：Google 和腾讯“将数据库的副本发送到用户的浏览器，并让浏览器根据本地数据库检查 URL，因此用户的具体数据实际上从未到达那两家公司。而且，“腾讯的黑名单仅在无法使用 Google 域名的中国大陆内部使用”。

但是，约翰霍普金斯大学的密码学家 Matthew Green 提出了新的问题。他指出，实际上 Google 会依赖黑名单和 Safari 之间“复杂的相互作用”。

Matthew Green 描述的整个标记流程如下：Google 将每个不安全的 URL 哈希化为不明确标识的代码，然后将这些哈希值的第一部分发送给 Safari，称为“前缀”。当用户访问网页时，Safari 会对其 URL 哈希化并检查前缀清单。如果匹配，Safari 会询问 Google 包含该前缀的所有哈希值。接下来，Google 提供这些内容，Safari 浏览器再检查较小的列表是否完全匹配。如果找到该页面，则标记该页面。

Matthew Green 分析称，这意味着 Google 永远不会看到完整的 URL 哈希值，在大多数情况下，它根本不会获得任何信息。但是，当 Safari 找到匹配的前缀并要求 Google 提供更多的哈希值时，它就会显示用户的 IP 地址以及他们所访问页面的部分哈希值。如此积少成多仍然有侵蚀用户隐私的嫌疑。

奇怪的是，大多数报道此消息的媒体，并没有过多讨论 Google 窃取用户隐私的可能性，而是一致将注意力放在了腾讯身上，包括 Matthew Green 本人。“我没有得出腾讯正在跟踪用户的结论，但腾讯有可能会这样做。”Matthew Green 说。“所以苹果与腾讯的合作应该更透明。”

题图/visualhunt