為何不應關掉iOS上Safari的「詐騙網站警告」功能?

為何不應關掉iOS上Safari的「詐騙網站警告」功能?
Photo Credit: Jaap Arriens / Newscom / 達志影像

我們想讓你知道的是

最近有報道指Safari的「詐騙網站警告」會把用戶資料傳給騰訊,然而其實際私隱風險不高,相比之下,為此關閉「詐騙網站警告」功能反而會得不償失。

近日有人發現,iOS上的Safari瀏覽器設定其中一項功能「詐騙網站警告」(Fraudulent Website Warning)在啟用後,有可能把部分資料提供給騰訊,引起私隱方面的關注,有人建議關閉這項功能。但這並非好建議,簡單講幾項重點︰

  • 只有在中國境內的裝置才會使用「騰訊安全瀏覽」,其他都用Google相同服務;
  • 「騰訊安全瀏覽」獲得的資訊跟「Google安全瀏覽」一樣;
  • Safari不會直接把你要連上的網站網址傳送出去;
  • 有關資訊並非絕無私隱風險,但詐騙網站的風險較高;
  • 蘋果有責任清楚解說,不應要用戶閱讀私隱政策條文才得悉此事。

在考慮討論是否需要關閉「詐騙網站警告」功能前,應先理解這項功能的用途及部分細節。根據蘋果的介紹(可在iOS上Safari的設定中點選「關於Safari與私隱政策」後看到)︰

啟用「詐騙網站警告」功能後,如你到訪的網站疑似釣魚網站,Safari即會顯示警告。釣魚是一種竊取你個人資料(例如用户名稱、密碼和其他帳户資料)的詐騙行為。詐騙網站會偽裝成正常的網站(例如銀行、金融機構或電郵供應商)。到訪網站前,Safari可能會將從網站地址計算出的資料傳送予「Google安全瀏覽」和「騰訊安全瀏覽」以檢查是否為詐騙網站。這些安全瀏覽供應商也可能會記錄你的IP地址。

這項功能是要阻止用戶到訪可疑、危險的網站,所以Safari會透過「Google安全瀏覽」(騰訊那部分留待稍後解說)檢查要連上的每個網址。

根據資訊安全專家格連(Matthew Green)的介紹,「Google安全瀏覽」的早期版本,就是讓瀏覽器傳送完整網址到Google的伺服器,檢查後再匯報是否安全,但這種做法讓Google可以記錄用戶要連上的網站及IP地址,可謂「私隱噩夢」,因此Google很快便推出更安全的設計,亦是現時Safari使用的方法。

由於整個流程可能有點複雜,以下先用一個比喻解說。

假設你的工作是協助客戶移民台灣,有人告訴你,他可以連上台灣內政部取得「禁止移民名單」(也假設這份名單存在),但他不會把所有資料交給你,你又不想透露客戶私隱。於是你們協議的方法如下︰

他整理好名單上所有人的身份證號碼,但只給你每個號碼的首兩個字。當你有新客戶的時候,便檢查其身份證號碼首兩個字是否吻合。假如有的話,你就告訴他是哪兩個字(例如Y7),他再把名單上相應的身份證號碼(即以Y7開首的號碼)給你。這樣他就不會知道你客戶的完整身份證號碼。

你打算瀏覽的網址,就像上面故事中客戶的身份證號碼,是不會直接交給對方(Google)的私隱,但又需要核對網址是否在其清單上,所以用上述方式交換資訊。

sipaphotosnine9339102
Photo Credit: Alex Tai / Newscom / 達志影像

當然,網址不像身份證號碼一樣,實際操作會稍為複雜一點(這部分可以略過)︰

  1. Google把其資料庫中所有不安全的網址,以雜湊函數(hash)SHA256轉換成256位元的雜湊值,並只保留最先的32位元,以節省儲存空間;
  2. Google把這些資訊都傳給瀏覽器,儲存在你的裝置上;
  3. 當你連上一個網址時,你的瀏覽器會用相同演算法計算網址的雜湊值首32位元,再檢查只否跟Google傳來的資料吻合;
  4. 假如吻合的話,瀏覽器會將有關資訊傳到Google伺服器,後者會傳回吻合的完整的雜湊值讓你的瀏覽器檢查。

雜湊(hashing)是一種處理數據的方法,粗略來說其作用是把資料(例如網址、密碼)「打亂」,讓雙方不用交出完整資料,同時可以對比兩項資料是否吻合,一般可用作核實檔案未經竄改或保護密碼。

整個過程中,Google伺服器只接受到網址雜湊值的首32位元,無法把直接這項資訊轉換成網址,就像上面故事中對方只知道你的客戶身份證號碼以「Y7」開首,無法得悉其完整證明。另外,由於要連上Google伺服器,其IP地址亦有可能被記錄。

現在我們知道「Google安全瀏覽」的做法,那麼「騰訊安全瀏覽」呢?

香港互聯網協會委員朱家昌檢視過相關的程式碼後表示,「Google安全瀏覽」及「騰訊安全瀏覽」的應用程式介面(API)基本上一樣,兩者可以互通,使用兩項服務所交出的資訊相同。

他亦指「詐騙網站警告」這項功能可以大幅減少接觸到惡意軟件及詐騙網站的機會,絕不建議因今次私隱憂慮而關閉,一來地區設定在中國以外的用戶不受影響,二來對大數人而言,此功能遠遠利多於弊。

而中國的用戶無法連上Google,無法使用「Google安全瀏覽」的服務,因此蘋果給中國用戶使用騰訊相同服務的做法合理,但他認為,蘋果有責任在把用戶資料傳給第三方時清楚解釋。

最後必須指出,採取任何安全措施時,必須平衝風險及好處,不能因小失大。雖然Google及騰訊收到用戶網址的部分雜湊值及IP地址後,理論上可能從這些資訊嘗試尋找用戶的行為(實際上需要更多研究),然而不能忽略的風險是,一旦裝置有惡意軟件或連上詐騙網站,同樣會令個人資料被盜,可能失去更多私隱。

相關文章︰

參考資料︰


猜你喜歡


元宇宙新生代-COVID世代來了!品牌如何接招?

元宇宙新生代-COVID世代來了!品牌如何接招?
Photo Credit:shutterstock

我們想讓你知道的是

生活及成長於Covid-19疫情中的世代橫空出世,面對習慣虛擬化、線上化的C世代,品牌更要及早準備接招。PChome 24h購物也看準商機搶先出手,推出iPhone 14訂閱方案、開設線上立陶宛館等服務,滿足C世代習慣遠距、享受體驗服務的特性!

當市場還在摸索Z世代的消費輪廓和行銷趨勢時,一波C世代大軍已然橫空出世,C世代意指Generation COVID,這波C世代大軍生活及成長於Covid-19疫情中,因為實體接觸的機會被隔離,他們可能沒有畢業典禮、沒有實體接觸國外的機會,或是從進入社會工作都是遠距。eMarketer即指出,疫情期間,消費者前往實體通路次數減少了42%,透過網路消費則反增了54%,大疫情時代使非接觸經濟的發展更躍進,C世代也因此更擁抱科技,甚至可能將成為生活在元宇宙的第一個世代,也將逐漸影響行銷趨勢。

元宇宙當道 C世代透過雲端群聚

C世代與同儕們的互動以線上為主,手機、電腦的線上裝置成為探索世界的工具之一,在學習和工作上也習慣遠距離,許多線上軟體也開發出新功能幫助C世代在元宇宙中群聚。其中Gather Town就是一個例子,雖然是一種視訊軟體,但是更像是一款遊戲,使用者可以自行設定角色,透過角色扮演和他人互動,也可以建立屬於自己的虛擬空間,在裡面開會、上課、進行遊戲等。品牌觀察到新世代的轉變,也紛紛開始與Gather town合作,如HP在Gather Town中開設元宇宙線上分享會,透過四大區域場館跟使用者互動,除了有遊戲區外,同時還展示旗下商品及優惠,並能直接找到折扣跟賣場,此外還能在裡面跟名人交流;台北市稅捐稽徵處也在Gather Town上開設線上展覽館,透過互動解謎,幫助民眾學習各項租稅知識,讓硬知識也能透過符合C世代的方式傳播。

HP在Gather_Town開設線上分享會,運用虛擬互動,在元宇宙中貼近C世代。
Photo Credit:爆米花數位
HP在Gather Town開設線上分享會,運用虛擬互動,在元宇宙中貼近C世代。

被封鎖的國界 C世代追求不出門能買天下物

因疫情影響,各國封鎖國界超過一年,截至目前為止,台灣人民也還無法自由地出國,C世代是喪失許多地球村公民權益的一代,失去很多跨國界交流的實體機會。許多品牌也趁機推出服務,協助消費者消弭疫情和國界的阻隔。

C世代少有出國的經驗,與此同時航空業和旅遊業也大受打擊,為了滿足消費者對於出國旅遊的渴望和對於品牌的熱度,新加坡航空之前在旅展中打造飛行旅程體驗區,讓體驗者戴上VR眼罩,探索新航A380的客艙,透過預先體驗培養品牌認同感。在疫情初始時,立陶宛主動贈與台灣疫苗,也讓國人對於這個遠在波羅的海的國家開始有了感恩之情和好奇心,但苦於疫情還是無法實際到當地體驗,PChome 24h購物與立陶宛企業局為了深化台立兩國的交流和滿足C世代消費者,共同開設「立陶宛館」,日前也在站上正式試營運,進駐立陶宛10大品牌,幫助C世代消費者不出國,透過熟悉的科技操作,就能品嘗異國美食,打開對於世界的感官。

PChome_24h購物開設立陶宛館,讓C世代透過最熟悉的手指購物就能嘗到異國好
Photo Credit:爆米花數位
PChome 24h購物開設立陶宛館,讓C世代透過最熟悉的手指購物就能嘗到異國好滋味。

體驗至上 訂閱制便利創新服務收買C世代的心

相較於產品本身,C世代更加注重享受及購買體驗。因此,若想吸引更多顧客,零售商就必須推出不同以往的服務。訂閱制雖然行之有年,但大部分在民生必需品上,如咖啡、保健食品、生鮮食品或是視聽娛樂方案上,但在智慧型手機這種相較之下使用週期較久的產品上卻尚未有過。對新興世代的消費者而言,智慧型手機不單純只是通訊作用,還包含了品牌信仰,甚至還有奢侈品的體驗,其中Apple年年出新機,即使產品耐用,也還是讓許多年輕人只要出新機就想換,而非等手上舊機無法使用,影響智慧型手機的消費習慣,讓其使用週期縮短。

過去一直傳聞Apple即將推出訂閱制, iPhone 14的發布會上卻沒有發表這項消息,然而全台電商中唯一Apple全系列授權經銷商PChome 24h購物搶先推出了iPhone 14的訂閱方案,訂閱週期為12個月,訂閱期滿後繳回舊機就能換新機,並主打低月付額、免預繳、免押金、專屬保險等服務。PChome 24h購物觀察到iPhone使用者的痛點,在保險服務上也有相對完整的保障,如果在訂閱期間手機不見、或是重大事故需維修,只需付出2,500元的自負額,便能享有一次原機維修或是置換服務。這樣的服務不僅讓C世代更能降低擁抱科技的門檻,進一步完整周邊服務,也因此在網路上掀起一波討論聲量。

PChome_24h購物搶先Apple_____推出訂閱方案,幫助C世代更能擁抱
Photo Credit:爆米花數位
PChome 24h購物搶先Apple推出訂閱方案,幫助C世代更能擁抱科技。

雖然世界已逐漸與疫情共存,但在這段時間內生長的C世代消費習慣,或許已奠定未來幾年內的市場趨勢,面對這群習慣虛擬化、線上化的世代,品牌更要及早準備接招。

本文章內容由「爆米花數位」提供,經關鍵評論網媒體集團廣編企劃編審。


猜你喜歡