Apple invia alcuni indirizzi IP degli utenti di Safari su iOS al conglomerato cinese Tencent. Lo riferisce il sito Reclaim The Net, spiegando che questa funzione è visibile selezionando la voce “Impostazioni” da iPad o iPhone e da qui “Safari” e “Safari e privacy”.
Nella schermata che appare, nella sezione “Avviso siti web fraudolenti”, è spiegato che «Safari mostra un avviso se il sito che stiamo visitando è un sito sospetto di phishing e che prima di consultare un sito web, Safari potrebbe inviare una serie di informazioni elaborate a partire dall’indirizzo del sito web a Google Safe Browsing e Tencent Safe Browsing, al fine di verificare se il sito web è fraudolento. Questi fornitori di servizi di navigazione potrebbero registrare l’indirizzo IP».
Per default l’opzione “Avvisi siti web fraudolenti” è attiva e l’indirizzo IP dell’utente inviato sempre ai fornitori di servizi prima citati per verificare se i siti che stiamo per visitare sono tra quelli etichettati come fraudolenti. Secondo il sito Reclaim The Net, questa funzione rende la navigazione meno sicura. Non è chiaro da quando Apple ha cominciato a sfruttare i servizi di Google e Tencent ma su Twitter un utente riferisce di un cambiamento avvenuto dalla beta di iOS 12.2 a febbraio 2019.
Tencent è accusata di lavorare a stretto contatto con il Partito Comunista cinese e di facilitare le attività di censura del governo in Cina con la sua app multi-funzione WeChat. Nel 2017 anche rilasciato un gioco, “Clap for Xi Jinping”, dove vince chi applaude più forte il discorso di Xi Jinping, e anche altri giochi “patriottici”.
L’indirizzo IP potrebbe essere sfruttato per localizzare l’utente e per la profilazione dello stesso tra più dispositivi. Se Tencent monitora l’IP di un utente iPad o iPhone anche con il servizio di navigazione privata (la funzione che consente di visitare i siti web senza creare una cronologia in Safari impedendo ad alcuni siti web di tener traccia del comportamento delle ricerche dell’utente), l’informazione potrebbe potenzialmente essere sfruttata per identificare il proprietario di un dispositivo cercando istanze legate a quell’indirizzo IP nei servizi di Tencent.
Apple permette di disattivare la funzione di avviso di servizi web fraudolenti andando nella sezione “Privacy e sicurezza” in Impostazioni > Safari ma se questa voce è disattivata, Safari non può verificare la legittimità dei certificati dei siti web.
Siti web fraudolenti potrebbero invogliarci a seguire operazioni pericolose, reindirizzarci durante la navigazione o appropriarsi indebitamente di informazioni personali (come nome utente e password). Molti siti web fingono di essere siti di agenzie governative o società valide, come banche, provider di servizi e-mail o IRS.
