Apple envía los datos de navegación de Safari a compañías en China

Una característica de seguridad de Apple ha llamado la atención de especialistas en seguridad informática. Según se ha reportado, la compañía verifica los sitios web que cada usuario visita para comprobar si son sitios fraudulentos o infestados de malware.

Esta función de Safari, conocida como “Alerta sobre sitios web fraudulentos”, fue implementada para mejorar la experiencia de seguridad en línea de los usuarios usando referencias cruzadas de URL usando un servicio de lista negra externo. Esta lista negra fue integrada por proveedores de navegación segura, como Tencent y Google.

No obstante Matthew Green, especialista en seguridad informática, afirma que debido a que esta función está activada de forma predeterminada en Safari para iOS, lo que implica que millones de usuarios podrían sufrir las consecuencias.

“Para que esta característica funcione de la forma esperada, los fabricantes de los navegadores deben enviar información calculada a partir de la dirección del sitio web a los proveedores de este servicio de lista negra para verificar si el sitio web es fraudulento”, menciona el experto. Además, esta función también podría facilitar la recolección de datos sobre la IP de los usuarios.

Tanto Tencent como Google son dos de los proveedores de servicios de navegación segura más importantes, por lo que son aplicados en la mayoría de los navegadores modernos. Microsoft también cuenta con servicios similares, especializados en la prevención del phishing y las infecciones de malware desde la nube. Esta herramienta, llamada SmartScreen, está integrada en la mayoría de sus productos, incluyendo el sistema Windows, Internet Explorer y Outlook, agregan los expertos en seguridad informática.

A pesar de que los expertos señalan que no existe evidencia para demostrar que estas compañías, especialmente Tencent, están recolectando direcciones IP, no está claro cómo es que Apple permitió que esta compañía, junto a Google, prestara este servicio de lista negra.  

Google proporciona dos API de navegación segura diferentes: una API de búsqueda y una API de actualización, la primera de las cuales permite a los navegadores enviar URL en texto sin formato al servidor de navegación segura de Google para verificar su estado. La compañía ya ha reconocido este inconveniente de privacidad: “Las URL no están codificadas, por lo que el servidor sabe qué URL busca cada usuario”.

El más reciente mecanismo, usado por Apple, permite a los navegadores descargar versiones cifradas de las listas de navegación segura para verificación del lado del cliente. En otras palabras, el navegador nunca conoce la URL consultada por Safari.  

En caso de que los usuarios no se sientan con la confianza de dejar esta función habilitada, especialistas en seguridad informática del Instituto Internacional Seguridad Cibernética (IICS) mencionan que es posible desactivarla en las configuraciones del navegador para iOS.