Tilbake til bloggen
Personvern på iOS·10 min lesing

Hva Apple's iCloud Private Relay faktisk dekker — og hva det ikke dekker

Apple leverer en personvernfunksjon som ser ut som en VPN, oppfører seg som en VPN, og noen ganger markedsføres som en VPN — men som ikke er det. iCloud Private Relay er en snevrere og mer spesifikk beskyttelse enn de fleste brukere tror. Her er nøyaktig hva den gjør, hva den ikke gjør, og hvor hullet er.

Av Casper's Cloak Security Team

Kortversjonen: iCloud Private Relay er en Safari-eksklusiv, dobbelthopp-kryptert proxy tilgjengelig for iCloud+-abonnenter. Den skjuler IP-adressen din fra nettstedene du besøker i Safari og fra internettleverandøren din. Den dekker ikke Chrome, Firefox, Brave, Edge eller noen annen nettleser. Den dekker ingen apper utenfor nettleseren — Instagram, TikTok, YouTube-appen, nyhetsapper, smart-TV-apper, spill, e-postklienten din. Den blokkerer ikke annonser eller sporere, oppdager ikke phishing, og beskytter deg ikke på fiendtlig offentlig WiFi mot TLS-mann-i-midten-angrep. Det er en meningsfull beskyttelse innenfor sitt snevre virkeområde, og det er mye snevrere enn navnet antyder.

Slik fungerer Private Relay egentlig

Mekanismen er det smarteste aspektet — og det er verdt å forstå fordi det forklarer både styrkene og begrensningene.

Når du besøker et nettsted i Safari med Private Relay aktivert, går forespørselen gjennom to separate reléer:

  1. Det første reléet (driftet av Apple) ser IP-adressen din og det krypterte målet. Det vet hvem du er (på grunn av IP-en) men ikke hvor du skal (destinasjonen er kryptert til det andre reléets nøkkel).
  2. Det andre reléet (driftet av en tredjepart — Cloudflare, Fastly eller Akamai på kontrakt med Apple) ser destinasjonen og dekrypterer den, men vet bare at tilkoblingen kom fra «en Apple Private Relay-bruker» — ikke hvilken spesifikk bruker.
  3. Destinasjonsnettstedet ser en generisk IP-adresse fra et regionalt adressepool (som matcher din omtrentlige plassering for innholdstilpasning, men ikke din spesifikke hjemmeadresse).

Denne arkitekturen med delt kunnskap er genuint elegant — verken reléet alene kan koble identiteten din til destinasjonene dine. Det er en meningsfull forbedring sammenlignet med en tradisjonell VPN, der VPN-leverandøren ser begge ender og må stoles på for ikke å logge.

Men hele arkitekturen er fastboltet til Safaris nettverksstabel. Andre apper bruker den ikke.

Hva Private Relay faktisk dekker

Nærmere bestemt:

  • Safaris nettlesing. Hvert nettsted du laster inn i Safari, på enhver iCloud+-enhet (iPhone, iPad, Mac), rutes gjennom reléet.
  • iCloud Mail i Mail-appen. E-postsporingsforespørsler utløst av reklame-e-poster rutes gjennom reléet (dette er i tillegg til Mail Privacy Protection, som er en separat Apple-funksjon).
  • Ukryptert trafikk (HTTP, ikke HTTPS) fra andre apper. De fleste moderne apper bruker HTTPS, så denne kategorien er liten i praksis. Men hvis en app sender en HTTP-forespørsel, rutes den trafikken gjennom reléet.
  • DNS-spørringer fra Safari. Vertsnavnoppslag går gjennom reléet slik at internettleverandøren din ikke kan se hvilke nettsteder du besøker.

Det er hele listen. Alt nedenfor er ikke dekket.

Hva Private Relay IKKE dekker

Andre nettlesere

Chrome, Firefox, Brave, Edge, Arc, Vivaldi, DuckDuckGo Browser, Opera — alle nettlesere utenom Safari kjører gjennom den vanlige nettverkstilkoblingen din, synlig for ISP og IP. Private Relay-arkitekturen er innebygd i Safaris WebKit-nettverkslag og er ikke eksponert for andre apper. Hvis standardnettleseren din er Chrome (standard for de fleste ikke-Safari-brukere), får du ikke Private Relay-beskyttelse der.

Apper utenfor nettleseren (den store svakheten)

Dette er hullet de fleste brukere ikke er klar over. Alle apper på telefonen din utenfor Safari kjører gjennom den vanlige nettverkstilkoblingen din. Instagram, TikTok, Twitter/X, YouTube-appen, nyhetsapper, værvarslings-widgets, spill, e-postklienten din, bankapper, smart-TV-følgeapper, Slack, Discord, Signal — ingen av dem får Private Relay-beskyttelse.

Hvorfor dette er viktig: de fleste personverntrusler mot forbrukere i dag er ikke i nettleseren. De er innebygde SDK-er i apper utenfor nettleseren (Facebook SDK, Mixpanel, Amplitude, Segment, AppsFlyer) som sender atferdstelemetri hjem. Apper som leser enhetsfingeravtrykk. Apper som kontakter annonsenettverk. Private Relay dekker ingenting av dette fordi ingenting av det skjer i Safari. Vår dypere gjennomgang av hva iOS App Tracking Transparency ikke stopper dekker SDK-sporingslaget spesifikt.

Trusselsbeskyttelse

Private Relay blokkerer ikke annonser, noe sted. Safari har separate innholdsblokkerings-utvidelser (1Blocker, AdGuard for Safari, andre) som blokkerer annonser i Safari. Private Relays rolle er å anonymisere IP-en og DNS-en din — ikke å filtrere innhold. Selv i Safari lastes annonser fortsatt inn (bare fra et anonymisert utkikkssted).

Sporerblokkering

Samme svar. Private Relay nekter ikke å løse sporeres vertsnavn eller blokkere sporertilkoblinger — det ruter dem bare gjennom reléet anonymt. Sporeren får fortsatt avfyre seg og samle data; den kan bare ikke knytte dataene til din spesifikke IP-adresse. Safaris innebygde Intelligent Tracking Prevention (ITP) gjør noe blokkering av sporere på informasjonskapsel-nivå, men det er adskilt fra Private Relay, og det gjelder heller ikke utenfor Safari.

Phishing-deteksjon

Private Relay vurderer ikke destinasjoner for phishing- eller skadevarerisiko. Safari har separat «Advarsel om falske nettsteder» (bygget på Google Safe Browsing) men bare inne i Safari, og bare for kjente farlige nettsteder — phishing-domener fra null-dag-angrep passerer gjennom. Phishing-lenker åpnet fra Meldinger, Mail, tredjeparts e-postapper eller enhver meldingsapp åpner i en web-visning som kanskje eller kanskje ikke får Safe Browsing-sjekker, og får definitivt ingen Private Relay-relatert beskyttelse. Vår gjennomgang av phishing-kampanjer dekker SMS-phishing-virkeligheten.

Beskyttelse mot fiendtlig offentlig WiFi (delvis)

På et fiendtlig kafé- eller hotell-WiFi-nettverk krypterer Private Relay Safari-trafikk mot den lokale nettverksoperatøren — de kan ikke se hvilke nettsteder du besøker i Safari. Men:

  • Andre apper på telefonen din (som fortsatt bruker det lokale WiFi-et uten reléet) er fullt eksponert.
  • Den lokale nettverksoperatøren kan fortsatt se at du bruker Private Relay (de ser trafikk til Apples relé-endepunkter, bare ikke destinasjonene bak det).
  • Innfangede portal-flyter eksponerer fortsatt den virkelige IP-en din før Private Relay starter.
  • Noen fiendtlige nettverk blokkerer Private Relay-endepunkter og tvinger trafikk gjennom egne loggings-proxyer — Private Relay degraderes da til ukryptert modus med mindre brukeren legger merke til det.

Geografisk IP-bytte for strømming

Private Relay gir deg en IP fra et regionalt adressepool som omtrentlig matcher din virkelige plassering — av design, for å bevare regional innholdskompatibilitet. Det er ikke et verktøy for å omgå strømmebegrensninger. Hvis du vil se britisk Netflix fra USA, er Private Relay feil produkt; NordVPN eller ExpressVPN eller lignende er det rette. Private Relays design unngår eksplisitt kappløpet med å omgå strømmeblokkering.

Når Private Relay er viktig og verdt å holde på

Ingenting av det ovennevnte er kritikk — det er bare avklaring av virkeområdet. Private Relay gjør det den sier den gjør, og innenfor det virkeområdet er den ganske god. Tilfeller der det er den rette beskyttelsen:

  • Safari-nettlesingen din bør ikke kunne observeres av internettleverandøren din. Private Relay oppnår dette elegant.
  • Du vil ikke at nettsteder skal fingeravtrykke din spesifikke hjemme-IP. Den regionale pool-IP-en er mye vanskeligere å bruke for koblinger på tvers av sesjoner enn en statisk bolig-IP.
  • Du vil ha en personvernforbedring uten å velge en VPN-leverandør å stole på. Den delte relé-arkitekturen betyr at selv Apple ikke kan se begge ender av nettlesingen din. Dette er en reell tillitsforbedring sammenlignet med å velge en VPN.
  • Du vil at det skal «bare fungere» uten konfigurasjon. Private Relay er på som standard for iCloud+-abonnenter; du trenger ikke huske å aktivere det eller ta hensyn til det.

For disse tilfellene, la det stå på. Det er ingen ulempe ved å kjøre det.

Hva du trenger utover Private Relay

For resten av personverntrusselflatens forbrukerdel — apper utenfor Safari, annonseblokking, sporerblokkering, phishing-deteksjon, full-enhet-beskyttelse på fiendtlige nettverk — trenger du noe på nettverkslaget snarere enn nettleserlaget. Den rene tilnærmingen er en DNS-filtrerings-VPN som dekker alle apper på enheten, ved siden av Private Relay for Safari.

Viktig: begge eksisterer fint side om side på iOS. iOS tillater én aktiv VPN-profil om gangen (Casper eller en annen) og Private Relay samtidig — Private Relay fortsetter å håndtere Safaris trafikk via Apples reléer mens VPN-profilen håndterer alt annet. Dette er det samme mønsteret som fungerte i årevis med bedrifts-VPN-er: Safari-på-Private-Relay sitter rent ved siden av andre-apper-på-VPN.

Hva dette betyr i konkrete termer: Private Relay dekker Safari, og vår trusselsbeskyttelse, sporerblokkering, og AI-trusselsbeskyttelse dekker alle apper utenfor Safari. Paret gir deg ~95% av forbrukertrusselflaten; enten alene etterlater betydelige hull. Vår iOS-plattformside går gjennom hva hvert lag fanger som det andre ikke gjør.

En merknad om Apples bredere personvernpakke

Apple har levert flere separate personvernfunksjoner som ofte blandes sammen:

  • iCloud Private Relay — Safari-eksklusiv IP/DNS-anonymisering (emnet for dette innlegget)
  • App Tracking Transparency (ATT) — «Spør app om ikke å spore»-varselet, som blokkerer én spesifikk identifikator (IDFA) men etterlater fingeravtrykk og SDK-nivå-sporing åpent. Detaljert gjennomgang her.
  • Mail Privacy Protection (MPP) — henter e-postsporingspikselene via Apple-proxyer uavhengig av om du åpnet e-posten, noe som beseirer det meste av e-post-åpningsrate-sporing. Gjelder bare Apple Mail, ikke Gmail/Outlook/Spark.
  • Hide My Email — genererer per-tjeneste e-postalias. Tilgjengelig for iCloud+-abonnenter.
  • App Privacy-etiketter — selvrapportert i App Store, nyttig som et signal men ikke håndhevet.
  • Intelligent Tracking Prevention (ITP) — Safaris blokkering av sporere på informasjonskapsel-nivå. Adskilt fra Private Relay.
  • App-sandkasse — apper kan ikke lese hverandres data uten tillatelse. Dette er plattformnivå-arkitektur, ikke en funksjon.

Hver gjør noe spesifikt og snevert avgrenset. Ingen av dem er et nettverksnivå-filter som dekker alle apper på enheten. Det er hullet Casper fyller.

Slik sjekker du om Private Relay faktisk er på

Mange brukere har iCloud+, men har aldri faktisk aktivert Private Relay. For å verifisere:

  • iOS / iPadOS: Innstillinger → [Ditt navn] → iCloud → Private Relay. Slå på hvis ikke allerede gjort.
  • macOS: Systeminnstillinger → [Ditt navn] → iCloud → Private Relay.
  • Hvis du ikke har iCloud+, er alternativet ikke synlig. iCloud+ starter til samme pris som 50 GB iCloud-lagringsnivået.

En subtil fallgruve: noen operatør- og bedriftsnettverk ber Apple om å deaktivere Private Relay for brukere på nettverkene deres. iOS varsler deg når dette skjer via et banner i Innstillinger. Hvis du ser det banneret, har operatøren eller arbeidsplassen din meldt deg ut — Private Relay er i praksis av på disse nettverkene.

Bunnlinjen

iCloud Private Relay er en gjennomtenkt, snevert avgrenset personvernfunksjon — Safari-eksklusiv IP- og DNS-anonymisering med en smart arkitektur med delt kunnskap. Det er verdt å holde på. Det er også mye snevrere enn navnet antyder: det dekker ikke andre nettlesere, dekker ingen apper utenfor nettleseren, blokkerer ikke annonser eller sporere, oppdager ikke phishing, og beskytter ikke fullt ut mot fiendtlig WiFi. Hullet mellom «hva Private Relay dekker» og «hva personvern for forbrukere i 2026 faktisk krever» er hullet nettverksnivå-filteret vårt er bygget for.

Hvis du vil ha både den Safari-spesifikke Private Relay-fordelen og full-enhet-dekning for alle andre apper på iPhone eller Mac, kjør dem sammen — de eksisterer rent side om side på iOS og macOS.

Vurdert av Casper's Cloak Security Team · Sist oppdatert

Dekk det Private Relay ikke dekker

Casper's Cloak er nettverksnivå-filteret som kjører ved siden av Private Relay — og dekker alle apper utenfor Safari på iPhone, Mac og Android. Annonseblokkering, sporerblokkering, AI-trusseldeteksjon, offentlig WiFi-kryptering.