Apple ontkent dat gebruikersgegevens Safari bij Tencent belanden

Apple kwam gisteren in een nieuwe storm terecht toen geruchten verschenen dat gebruikergegevens via de webbrowser Safari naar het Chinese technologiebedrijf Tencent gestuurd worden. Dat zou al sinds de release van iOS 12.2 zo zijn. Tencent heeft de bedenkelijke reputatie van data te delen met de Chinese overheid. Daarvoor was enkel bekend dat Apple voor de functie Safe Browsing samenwerkt met Google. Apple ontkent nu dat gebruikersgegevens naar Tencent zouden gestuurd worden, en geeft via een officieel statement extra uitleg over de werking van de functie.

Safe Browsing is een functie die Apple heeft ingebouwd om gebruikers beter te beschermen tegen phishing-praktijken. Safe Browsing werkt met een reeks hashes van onveilige url’s die Safari opslaat. Als Safari opmerkt dat in een url een gedeelte van de hash overeenkomt, dan neemt het automatisch contact op met Google om de volledige hash te krijgen. Zo kan Safari de onveilige url blokkeren als de hash volledig overeenkomt.

Handelsoorlog met China

Dat contact met Google is noodzakelijk om de functie te doen werken. Maar daar knelt in China het schoentje. Omdat president Trump China de (handels)oorlog heeft verklaard, kan Safari in China niet gelinkt worden aan Google. Dus heeft Apple een vervangende oplossing moeten zoeken en dat is Tencent geworden. Apple bevestigt dat dit enkel zo is voor iPhones waarvan de regio ingesteld staat op het vasteland van China.

Apple benadrukt in het statement dat Tencent volledig dezelfde functie vervult in China als Google in de rest van de wereld. Volgens Apple is het dus onmogelijk dat gebruikersgegevens via Safari aan Tencent worden doorgespeeld.

Onvoldoende transparantie

Die verklaring van Apple is zeer plausibel. Dat onderzocht en bevestigde Matthew Green op zijn blog. Green is cryptograaf van opleiding en hoogleraar aan de John Hopkins University in Baltimore. Omdat Google en Tencent enkel gecontacteerd worden om de hash van een link te bekomen, worden de url’s die gebruikers bezoeken niet opgeslagen in de database van Google en Tencent. Op die manier hebben zij geen toegang tot de ip-adressen die naar de url’s surfen.

Maar toch wil de professor Apple niet volledig vrijpleiten. Hij verwijt de smartphonebouwer een gebrek aan transparantie. Apple voegde Tencent een jaar geleden toe aan Safe Browsing zonder zijn gebruikers daarvan op de hoogte te brengen. Dat is een belangrijke wijziging in de gebruikersovereenkomst die moest gecommuniceerd worden. Het systeem is ook niet helemaal waterdicht volgens een Frans onderzoeksrapport, dat beweert dat via de hashes Google en Tencent wel degelijk aan data kunnen geraken. Apple moet dus transparanter worden over het gebruik van gebruikersgegevens, ook als het gaat om het verhogen van de veiligheid.

Apple en China: a match made in hell

De woorden ‘Apple’ en ‘China’ duiken de laatste tijd in nogal veel nieuwsberichten samen op. Apple en CEO Tim Cook liggen zwaar onder vuur voor diens beleid, dat door vele als ‘pro-China’ wordt bestempeld. Naast alle commotie rond het verwijderen van apps ontwikkeld door betogers in Hong Kong, is er nog het gerucht dat Apple regisseurs die werken voor TV+ zou opdragen om China in hun producties niet negatief af te beelden. Dit vuurtje heeft Apple misschien wel kunnen uitdoven, maar de brandhaard is nog lang niet geblust.