mublet

แอพพลิเคชั่น มือถือยอดนิยม แอพใหม่

Apple พึ่งพาระบบบัญชีดำ (Safe Browsing) ของ Google เพิ่มความปลอดภัย

Posted on by Mublet

Apple พึ่งพาระบบบัญชีดำ (Safe Browsing) ของ Google ในการเพิ่มความปลอดภัยให้กับการใช้งานเว็บไซต์ด้วย Safari มาเป็นเวลานานแล้ว แต่ใน iOS 13 ทาง Apple ได้เพิ่มเทคโนโลยีบัญชีดำของ Tencent เข้ามาด้วย ซึ่งปัญหาก็คือ วิธีป้องกันด้วยวิธีนี้ ทาง Apple จะมีการแบ่งปันข้อมูลประวัติการใช้งานเว็บไซต์ไปยังเซิร์ฟเวอร์บัญชีดำด้วย หากให้พูดกันตรงๆ แล้ว ปัญหาก็คือ การที่ Google จะได้ข้อมูลของเราไปบ้างมันอยู่ในขอบเขตที่พอจะยอมรับได้ แต่ Tencent นั้นเป็นบริษัทของจีนที่มีข่าวความสัมพันธ์กับรัฐบาลจีน ทำให้เกิดความวิตกกังวลว่าข้อมูลของผู้ใช้อาจถูกแทรกแซงโดยรัฐบาลจีนได้

Safe Browsing ช่วยด้านความปลอดภัยในการเข้าถึงเว็บไซต์ได้อย่างไร?
เพื่อให้เข้าใจว่า Safe Browsing เกี่ยวข้องกับข้อมูลส่วนตัวของผู้ใช้อย่างไร เราต้องเข้าใจวิธีการทำงานของมัน

เมื่อหลายปีก่อน Google ได้สังเกตพบว่า ผู้ใช้งานส่วนใหญ่มีแนวโน้มที่จะ “เผลอ” เข้าไปยังเว็บไซต์อันตราย อย่างพวกเว็บไซต์ปลอม (Phishing pages), เว็บอันตรายที่มีมัลแวร์แฝงอยู่ ฯลฯ ดังนั้น Google จึงสร้างฐานข้อมูลรวบรวม URL เว็บไซต์อันตรายเหล่านี้ขึ้นมา พร้อมกับสร้าง “Lookup API” สำหรับใช้ในการตรวจสอบ URL ที่เว็บเบราว์เซอร์พยายามเข้าถึง หากตรงกับ URL ที่อยู่ในฐานข้อมูลบัญชีดำล่ะก็ มันจะทำการแจ้งเตือนผู้ใช้ให้รับทราบว่าเว็บไซต์นั้นไม่มีความปลอดภัยให้รู้ทันที

ปัญหาก็คือ การทำงานของ Lookup API นั้น Google จะได้ข้อมูลทั้งหมดของ URL ที่ผู้ใช้ต้องการเข้าถึงไปด้วย ทำให้มีความกังวลเกี่ยวกับสิทธิส่วนบุคคลเกิดขึ้น ซึ่ง Google เองก็รู้ถึงปัญหานี้ ทำให้แก้ปัญหาด้วยการพัฒนา “๊Update API” ขึ้นมาใช้งานแทน (แต่ Loolup KPI ก็ยังมีให้ใช้งานอยู่นะ) โดย API ใหม่จะมีขั้นตอนการทำงาน ดังนี้

  • Google ทำการเข้ารหัส URL ที่ไม่ปลอดภัยด้วย SHA256 hash จากนั้นก็ตัดแบ่งข้อมูลส่วนหน้าออกมาเพียง 32 บิต เพื่อลดขนาดของข้อมูล
  • Google ส่งข้อมูลดังกล่าวมาเก็บไว้ยังเว็บเบราว์เซอร์ที่คุณใช้งาน
  • ทุกครั้งที่เราเข้าเว็บไซต์ เบราว์เซอร์จะทำการเช็ค URL ว่ามี Hashes ที่ตรงกับข้อมูลบัญชีดำที่อยู่ในเครื่องของคุณหรือไม่
  • หาก “ข้อมูลส่วนหน้า” ตรงกับในบัญชีดำ เว็บเบราว์เซอร์จะทำการส่งข้อมูลไปยังเซิร์ฟเวอร์ของ Google เพื่อตรวจสอบ จากนั้นเบราว์เซอร์ก็จะได้รับข้อมูล URL แบบเต็ม 256 บิต ทั้งหมดกลับมาเปรียบเทียบอีกครั้ง ซึ่งหากตรงกัน มันก็จะเตือนว่าเว็บไซต์ดังกล่าวมีอันตรายแฝงอยู่

    • ในทางทฤษฎีแล้ว Google ก็จะได้ข้อมูลการเล่นเว็บของเราไปแค่ “บางส่วน” เท่านั้น แม้ว่าการทำเช่นนี้ จะลดความแข็งแกร่งของระบบป้องกันลงไปบ้าง แต่ก็แลกมาด้วยความเป็นส่วนตัวที่เพิ่มขึ้นมาก ซึ่ง Google ก็มีชื่อเสียงมากพอที่จะทำให้ผู้ใช้รู้สึกไว้วางใจได้ ในขณะที่ Tencent ยังไปไม่ถึงจุดนั้น

    ปัญหานี้ไม่น่ากลัวอย่างที่คิด
    Apple ได้ออกแถลงการณ์ระบุว่า Tencent Safe Browsing จะถูกใช้กับผู้ใช้ที่อาศัยอยู่ในประเทศจีนเท่านั้น เนื่องจาก Google ถูกแบนในประเทศจีน ทำให้ Safari ไม่สามารถเข้าถึงข้อมูลใน Google Safe Browsing ได้ ดังนั้น เพื่อความปลอดภัยของผู้ใช้ iOS ในจีน ทาง Apple จึงได้ตัดสินใจเพิ่มระบบ Tencent Safe Browing เข้ามาให้ใช้งานแทน

    อย่างไรก็ตาม สำหรับผู้ที่วิตกกังวล สามารถปิดระบบ Safe Browsing ได้ ด้วยการเข้าไปใน แอป Settings >> Safari จากนั้นแตะปิดการทำงานของเมนูที่ชื่อว่า Fraudulent Website Warning ทั้งนี้ หากปิดแล้ว เวลาเข้าใช้งานเว็บไซต์ต่างๆ ควรเพิ่มความระมัดระวังด้วยตนเองด้วย

    mublet