Hace ya un par de años que Apple envía información recolectada de la actividad de los usuarios a Tencent como parte de una función en sus iPhones y Ipads que alerta contra sitios maliciosos o inseguros.
Apple se encarga de chequear las direcciones ingresadas con una lista de sitios que, en el caso de China continental, es mantenida por Tencent y en otras regiones está en manos de Google. Hasta aquí nada que no experimenten usuarios en otras partes del mundo.
Sin embargo, en las nuevas versiones del iOS la empresa ha advertido que también enviará los datos de las direcciones IP. Esto permitiría a Tencent obtener la localización de los usuarios.
Como es de esperar esta medida ha encontrado rápidamente las críticas de activistas y expertos en seguridad y privacidad.
Tencent no siempre ha estado en una perfecta relación con el gobierno chino, pero es indiscutible que todos los datos que pasen por la compañía podrían terminar en manos de las autoridades muy fácilmente. Esto haría que la vida de muchos disidentes o manifestantes quede en riesgo.
Es importante destacar que los usuarios pueden elegir deshabilitar la función y así evitar el descubrimiento de sus IP. Aunque de esta manera pierden la protección que obtenían de ella.
Todo por el mercado
En las últimas semanas varias compañías estadounidenses han sido criticadas por su predisposición para ajustarse a las demandas del gobierno chino con tal de conservar una relación comercial favorable. Los últimos escándalos han involucrado a las NBA, la compañía de videojuegos Blizzard y Apple.
Apple tiene un amplio historial de medidas que buscaron ganar el beneplácito de las autoridades chinas. En 2018 se asocio con la firma Guizhou-Cloug Big Data para almacenar los datos de los usuarios de dicha nación en un servidor local.
Más recientemente la empresa le habría indicado a los creadores de sus shows televisivos que eviten retratar a China de forma negativa.
Otros gestos, como la eliminación del emoji de la bandera de Taiwan en Hong Kong y Macao demuestran a que extremos esta necesidad de complacer ha llegado.
En realidad utiliza la lista de navegación segura de Google, pero hay que recordar que Google está banneada de China, por lo que para brindar el servicio allí, tienen que utilizar la solución de Tencent en su lugar.
De acuerdo a Apple, Safari descargaría de Google / Tencent una copia de la base de datos de sitios sospechosos en el dispositivo. El chequeo de sitios se haría localmente, por lo que el historial de navegación no estaría terminando en las manos de estas dos empresas.
Pero… siempre hay peros, criptógrafos dicen que no sería TAN así. La base de datos de Google, por ejemplo, no incluiría direcciones de páginas web sino “prefijos” (la primera sección del hash obtenido a partir de una dirección web tras su encriptación). Así, cuando una persona visita una página web, Safari hashearía la dirección, tomaría el prefijo y lo buscaría en la lista. Si no está ahí muestra la página normalmente y ahí terminó todo, pero si está en la lista le manda a Google el prefijo y le pide que le envíe todos los hashes completos que tienen ese mismo prefijo*. Así que Google estaría en ese momento recibiendo la IP del usuario y el prefijo. La solución de Tencent, indican, sería similar.
* Safari después busca el hash completo en esa nueva lista. Si no lo encuentra, muestra la página y si está, le indica al usuario que es un sitio inseguro.
El hash completo nunca viajaría hacia Google / Tencent, pero sí el prefijo (y la IP).