先日、ブルームバーグが、アップルはiOSユーザーの閲覧データをテンセント（騰訊）に提供していると報道した。ユーザーのプライバシー保護を売りにしている企業にとっては驚くべきスキャンダルだが、15日未明、アップルは声明を発表し、報道を否定した。

ブルームバーグを含む複数のメディアによると、アップルは約2年前からデータをテンセントに提供しているという。iPhoneとiPadには特定のサイトにアクセスする前に危険を知らせる機能があるが、危険かどうかを判断する方法は既存の危険サイトリストと比較してアップル側がチェックするものだ。このリストは中国本土のユーザーについてはテンセント、米国を含む他の地域についてはグーグルがそれぞれ提供している。

iOS13のプライバシー条項に、Safariがテンセントのセーフブラウジング機能を使用しているため、テンセントがユーザーのIPアドレスを記録する可能性があるとの記述が追加された。この追加は最新バージョンのiOSで行われたものだが、セーフブラウジング機能自体はテンセントが2017 年のiOS11から、Googleが2008年からすでに提供しているものだ。

15日未明、アップルから次のような声明が発表された。

「アップルは、Safariによる詐欺サイトの警告を使用してユーザーのプライバシーを守り、データを保護します。本機能は、既知の悪意のあるWebサイトにフラグを立てるセキュリティ機能です。この機能を有効にすると、SafariはWebサイトのURLを既存のWebサイトのリストと照合し、ユーザーがアクセスしているURLがフィッシングなどの不正行為の疑いがある場合に警告を表示します。

このタスクを実行するために、Safariは悪意あるWebサイトのリストをGoogleから受け取っていますが、地域コードが中国本土に設定されているデバイスについては、テンセントからリストを受け取ります。アクセスするWebサイトの実際のURLは、セーフブラウジング機能を備えたプロバイダーと共有されることはなく、機能をオフにすることもできます。」

米国のテクノロジーメディアZDNet向けには、より詳細な説明が行われた。それによると、Googleとテンセントは「データバンクのコピーをユーザーのブラウザに送信し、ブラウザがローカルのデータと照合する形だ。したがって、ユーザーのデータが実際に上記2社に送信されるわけではなく、且つテンセントのリストはGoogleが使えない中国大陸でのみ使われる」という。

しかし、ジョン・ホプキンス大学の暗号学者Matthew Green氏はこの説明を疑問視する。GoogleはブラックリストとSafariの間で行われる「複雑なやり取り」を利用すると彼は指摘する。

同氏によると、流れは次のようになる。Googleが危険なURLをハッシュ化し、ハッシュ値の最初の一部をプレフィックスとしてSafariに送信する。ユーザーがブラウジングを始めると、SafariはアクセスしようとしているURLをハッシュ化しプレフィックスと照合する。プレフィックスと一致すれば、SafariはさらにGoogleから同じプレフィックスを含むすべてのハッシュ値の提供を受け、そのなかからアクセスしようとしているURLと一致するものがあるかどうかを確認する。一致すれば、危険サイトとして警告する。

同氏の分析によれば、GoogleがユーザーのアクセスしたURLの完全なハッシュ値を入手できることは決してなく、大半の場合は情報を何も入手できない。しかし、Safariがプレフィックスの一致を発見し、より多くのハッシュ値の提供を求めると、ユーザーのIPアドレスとURLのハッシュ値の一部がGoogleに送信される。このように積み重ねていけば、やはりユーザーのプライバシーが侵害される疑いがあるだろう。

奇妙なことに、このことを報道したほとんどのメディアはGoogleがプライバシーを侵害する可能性を取り上げずに、テンセントだけをやり玉にあげている。Matthew Green氏本人もそうだ。「テンセントがユーザーのトラッキングをしている証拠は見つからなかったが、彼らがそれをする可能性はある。したがって、アップルとテンセントの協力関係はより透明であるべきだ」と彼は話す。

トップ画像提供はvisualhunt
（翻訳：小六）

原文はこちら