Fitur transfer data jarak jauh Apple Photos di iOS 18 dan macOS 15
(lapcatsoftware.com)- Enhanced Visual Search ditambahkan ke Photos di iOS 18 dan macOS Sequoia, dan di iPhone serta Mac milik penulis fitur ini aktif secara default
- Fitur ini membantu pencarian dengan mencocokkan landmark dan tempat menarik dalam foto secara privat dengan indeks global di server Apple
- Apple menjelaskan bahwa mereka menggunakan enkripsi homomorfik, privasi diferensial, dan relay OHTTP agar informasi foto tidak dapat diketahui, tetapi komunikasi dengan server itu sendiri menjadi inti perdebatan soal privasi
- Fokus kritiknya bukan pada niat buruk Apple, melainkan pada kemungkinan bug perangkat lunak, dengan catatan bahwa kerentanan terus muncul di catatan rilis keamanan Apple sebagai dasar argumen tersebut
- Di macOS, komunikasi bisa diblokir sampai batas tertentu dengan Little Snitch, tetapi di iOS tidak ada pilihan serupa sehingga pengguna sulit melindungi diri sendiri
Aktivasi default Enhanced Visual Search
- Item baru bernama Enhanced Visual Search ditambahkan ke pengaturan Photos di iPhone dan aktif secara default
- Pengaturan yang sama juga baru ditambahkan ke Photos di macOS Sequoia, dan di Mac juga aktif secara default
- Penulis menonaktifkan pengaturan tersebut secara manual sebelum mengambil tangkapan layar
Cara kerjanya menurut dokumen Apple
- Dokumen Apple Photos & Privacy menjelaskan bahwa Enhanced Visual Search memungkinkan pencarian foto berdasarkan landmark atau tempat menarik
- Perangkat mencocokkan lokasi dalam foto secara privat dengan indeks global di server Apple
- Apple menyatakan mereka menggunakan teknologi berikut untuk melindungi privasi
-
Enkripsi homomorfik
-
Privasi diferensial
- Relay OHTTP yang menyembunyikan alamat IP
- Menurut dokumen Apple, pengaturan ini bisa dimatikan di iOS·iPadOS melalui
Settings > Apps > Photos, dan di Mac melaluiPhotos > Settings > General - Artikel Apple Machine Learning Research Combining Machine Learning and Homomorphic Encryption in the Apple Ecosystem dipublikasikan pada 24 Oktober 2024, sedangkan iOS 18 dan macOS 15 dirilis untuk publik pada 16 September 2024
-
Kritik terhadap perlindungan privasi
- Titik awal kritiknya adalah bahwa Apple meningkatkan pengalaman di perangkat dengan komunikasi ke server meskipun pengguna tidak memintanya
- Menurut standar penulis, sesuatu hanya benar-benar privat jika seluruh komputasi selesai di perangkat, dan bila data keluar ke server produsen maka sulit dianggap sepenuhnya privat
- Penulis juga menyatakan bahwa ia tidak bisa menilai langsung apakah implementasi Apple benar-benar aman secara teknis
- Namun, karena kerentanan terus muncul di catatan rilis keamanan Apple, ia menilai klaim privasi Apple sulit dipercaya begitu saja
- Kritiknya adalah bahwa bahkan tanpa niat buruk atau konspirasi, pengguna tetap bisa menjadi rentan hanya karena bug perangkat lunak, dan Apple tidak bisa menjamin perangkat lunak tanpa bug
Pilihan pengguna dan alat pemblokiran
- Penulis tidak tertarik pada Enhanced Visual Search, sehingga bahkan jika fitur itu bekerja sempurna, menurutnya tidak ada manfaat yang sepadan dengan risikonya
- Cara menyalakan fitur tanpa izin pengguna dikritik sebagai tindakan yang tidak menghormati pengguna maupun preferensi mereka
- Ia berpendapat bahwa slogan iklan Apple, “What happens on your iPhone, stays on your iPhone.”, tidak sesuai dengan kasus ini
- Di macOS, Little Snitch dapat digunakan untuk sebagian besar memblokir komunikasi jarak jauh perangkat lunak Apple
- Di iOS, alat seperti Little Snitch tidak diizinkan, sehingga terasa seperti Apple menghalangi pengguna untuk melindungi diri sendiri
Materi lanjutan
- Dalam lampiran 1 Januari 2025, disertakan tulisan lanjutan The internet is full of experts dan ringkasan Michael Tsai
1 komentar
Komentar Hacker News
Yang saya inginkan sangat sederhana: saya ingin perangkat lunak yang tidak mengirim apa pun ke internet sebelum ada niat eksplisit
Rekayasa untuk membuat fitur ini tampak privat itu keren, dan mengimplementasikan fitur seperti ini sendiri bukan masalah, tetapi fitur ini harus benar-benar opt-in
Selama perangkat lunak memperlakukan pengguna akhir serta sumber daya seperti data dan koneksi jaringan mereka sebagai taman bermain vendor, kepercayaan akan terus terkikis. Data perangkat lokal tidak boleh bocor secara tak terduga keluar dari antarmuka nirkabel, dan fitur yang membuat data lokal keluar ke jaringan harus selalu terkait dengan niat pengguna
Jawaban sinis atas mengapa Apple tidak sekadar bertanya kepada pengguna apakah ingin mengaktifkan fitur ini adalah, menurut saya, Apple tahu bahwa jika ditanya sebagian pengguna akan langsung menolak, tetapi Apple merasa mereka lebih tahu daripada para pengguna itu. Saya tidak suka sikap seperti ini, dan menurut saya ini juga alasan yang sama mengapa keluhan terhadap telemetri opt-out makin besar
Menambah lebih banyak dialog yang sebagian besar pengguna akan tekan “Izinkan” tanpa berpikir tidak menyelesaikan masalah
Masyarakat pada dasarnya sudah menerima bahwa memberikan akses data kepada pihak ketiga itu tidak masalah, dan menambahkan friksi di sini berarti menghukum 98% orang demi 2% yang memang tidak akan menggunakan layanan seperti ini
Jika publik lebih teredukasi, keseimbangannya mungkin berubah, tetapi kenyataannya tidak demikian, dan pengalaman pengguna yang baik harus mencerminkan kenyataan
Mayoritas besar pengguna, lebih dari 95%, tidak memahami arti popup, tampaknya bahkan tidak punya kemampuan untuk membacanya, dan selalu menerima, selalu menolak, atau menekan tombol yang lebih mencolok
Cobalah amati anggota keluarga yang bukan dari industri teknologi dan bukan kalangan profesional/manajerial, lalu tanyakan apa popup yang baru saja mereka tutup dan mengapa mereka menutupnya; itu akan memberi pelajaran terbaik tentang interaksi antara teknologi dan privasi
Untuk itu, perlu mengambil lintang/bujur lokasi foto dan mengubahnya menjadi alamat yang dapat dipahami manusia lewat pencarian reverse geocoding, dan ini hampir selalu dilakukan dengan mengajukan kueri ke layanan reverse geocoding global
Saya penasaran apakah fitur ini juga dianggap pelanggaran privasi sehingga perlu opt-in. Jika tidak, saya tidak tahu mengapa layanan reverse geocoding lebih privat daripada layanan pencarian landmark
Secara pribadi, saya tidak percaya popup seperti ini mencapai tujuan apa pun. Pada akhirnya, kita tidak bisa membuktikan secara masuk akal bahwa situs web bertindak dengan niat baik. Meski aplikasi bertanya apakah boleh menghubungi server, tidak ada jaminan bahwa menekan “Tidak” benar-benar mencegah pelacakan
Saya terus terkejut melihat orang meyakinkan diri bahwa privasi dalam skala besar akan bekerja lewat berbagai kombinasi tombol ya/tidak. Hanya ada dua cara untuk memercayai perangkat lunak: 1. secara naif memeriksa apakah ada tulisan “privacy first” di suatu tempat 2. memahami sampai ke perintah apa saja yang dapat dijalankan oleh perangkat lunak yang sedang berjalan
Popup izin juga kurang granularitas. Saat mengizinkan akses ke daftar kontak, kontak mana sebenarnya yang diakses? Bisakah hanya mengizinkan nama dan memblokir nomor telepon? Apakah pemrosesannya offline atau online? Jika online, apakah harus menampilkan popup akses internet lagi? Lalu apakah jenis aktivitas internetnya juga harus bisa difilter? Jika terus diturunkan seperti ini, pada akhirnya kita akan sampai pada sistem izin yang Turing-complete; jika tidak, akan ada celah dalam “privasi”
Saya jelas pernah melihat kotak yang tidak saya centang ternyata tercentang. Saya ingin mematikan hal-hal seperti ini dan membuatnya tidak bisa diaktifkan lagi, tetapi vendor tentu tidak akan mengizinkannya. Karena itu saya memakai Linux
Pengguna aplikasi open source gratis saya tampaknya terkejut mengetahui bahwa kami sama sekali tidak punya insight tentang pola penggunaan
Ada situasi ketika sedikit telemetri anonim akan sangat membantu, tetapi saya tidak berniat menyentuhnya
Opt-in bukan hanya sangat mengurangi jumlah data, tetapi juga memasukkan bias besar ke data yang dipilih sehingga membuatnya tidak berguna. Orang-orang yang akan opt-in mungkin bukan sampel yang baik dari “pengguna tipikal”
Opt-out tidak dapat diterima bagi sebagian pengguna, apa pun mekanisme perlindungan atau jaminan yang diberikan, dan mereka akan menyampaikannya dengan tegas
Saya paham bahwa pelaku jahat mudah menyalahgunakan telemetri, dan bahwa “data anonim” bisa ternyata sama sekali tidak anonim dalam beragam cara yang mengejutkan. Tetap saja, rasanya menyesal seperti “inilah sebabnya kita tidak bisa punya hal-hal bagus”
Ketika terjadi error, muncul toast yang meminta pengguna membagikan data analitik untuk membantu pemecahan masalah, dan tentu saja bisa ditolak. Mungkin itu sistem terbaik yang pernah saya lihat, tetapi saya tidak ingat situs yang mana
Apple, Microsoft, Google, dan lainnya menangani pembagian analitik secara samar tanpa rincian, dan juga tidak menjelaskan dengan jelas bagaimana itu digunakan maupun bisa disalahgunakan. Kebanyakan bahkan tidak menyediakan opt-out. Saya tidak memercayai organisasi-organisasi seperti ini, tetapi harus berhadapan dengan mereka dalam hidup. Facebook atau Twitter tidak perlu saya gunakan, dan memang tidak saya gunakan. Survei Steam saya terima
Untuk mengatasi kurangnya informasi analitik yang bisa menguntungkan komunitas open source, RFC standar analitik yang disepakati bisa menjadi satu langkah. Ini adalah cara kedua pihak menyetujui komunikasi yang telah disepakati
Dari sudut pandang saya, metadata juga data pribadi. Tanpa pengguna, data maupun metadata tidak ada. Karena pengguna akhir adalah entropi dari metadata, pemilik metadata dan data adalah pengguna
Saya tidak terlalu yakin bias apa yang akan ditambahkan
Misalnya, dengan bertanya “Kami membuat aplikasi ini dan menganggap privasi penting. Inilah informasi yang dikumpulkan selama penggunaan dalam satu bulan terakhir. Bolehkah kami mengirim informasi ini kepada kami untuk meningkatkan aplikasi?”, sambil menampilkan data yang dikumpulkan dalam bentuk yang dapat dibaca manusia
Secara umum saya berharap ini menjadi solusi yang dapat dijalankan. Meski kelompok opt-in berbeda dari “pengguna tipikal”, itu adalah data terbaik yang bisa diperoleh secara jujur dan etis. Bukankah itu jelas lebih baik daripada tidak ada data sama sekali
Di semua situs web dan aplikasi yang menampilkan banner persetujuan cookie opt-in, keadaan seperti ini sebenarnya sudah berlaku secara implisit
Sangat sulit memperbaiki software desktop, dan pengguna Linux khususnya cenderung memusuhi pola-pola yang memungkinkan perbaikan
100% sepenuhnya setuju:
“Satu-satunya cara menjamin privasi komputasi adalah tidak mengirim data keluar dari perangkat”
“Sejauh mana risiko pelanggaran privasi mau ditanggung seharusnya diputuskan oleh masing-masing pengguna. [...] Dengan menyalakan ‘fitur’ tanpa bertanya, Apple tidak menghormati pengguna dan preferensinya. Saya tidak pernah ingin iPhone saya menghubungi server Apple.”
Terlepas dari seberapa diobfuskasi, “aman”, atau “melindungi privasi” fitur itu, fakta bahwa informasi apa pun yang diturunkan dari konten pribadi dikirim tanpa persetujuan sebelumnya tidak berubah.
Sekalipun informasinya dilindungi, setiap kueri jaringan adalah informasi. Timestamp bahwa tindakan tertentu dilakukan pada waktu tertentu; misalnya, jika sesuatu dikirim ke layanan ini segera setelah foto baru ditambahkan, itu bisa mengungkap fakta bahwa sebuah foto diambil, lokasi tertentu yang dikorelasikan dengan informasi lokasi pada saat itu, dan sebagainya—ini baru puncak gunung es. Mengirim informasi dari perangkat pengguna tanpa persetujuan eksplisit adalah pelanggaran privasi.
Argumen soal metadata menurut saya mungkin saja, tetapi di sana pun ada banyak asumsi. Khususnya perlu asumsi bahwa Apple sebenarnya tidak melakukan OHTTP dan bersekongkol untuk mencari tahu kapan pengguna mengambil foto. Kalau pada dasarnya kita tidak mempercayai matematika, saya tidak tahu di mana ketidakpastian dan kecurigaan itu akan berakhir.
Mudah diverifikasi bahwa ini tidak terjadi tepat setelah foto diambil. Pertama, trafik jaringan akan menunjukkannya, dan kenyataannya tidak begitu. Kedua, homomorphic encryption biayanya besar sehingga tidak bisa dilakukan seperti itu. Photos biasanya tidak langsung melakukan sinkronisasi, dan ini terlihat dari kebanyakan pengguna iPhone yang diberi tahu oleh aplikasi Photos kapan sinkronisasi dilakukan. Pekerjaan yang mahal biasanya masuk antrean sampai perangkat tersambung ke daya dan berada di Wi-Fi.
Misalnya, saat saya mengirim foto anjing di dalam bak mandi kepada seorang teman, AirPods-nya melalui iPhone memberi tahu bahwa “seseorang mengirim foto anjing di dalam bak mandi”. Teman saya bilang itu keren, dan secara pribadi saya juga menganggapnya fitur yang berguna. Hanya saja saya tidak tahu sejauh mana ini membutuhkan pemrosesan di luar perangkat.
Dengan mempertimbangkan dua mitigasi ini, untuk memperoleh data pribadi lewat fitur ini, pertama-tama harus membobol ponsel target untuk mematikan kueri palsu, lalu membobol pihak relay untuk mengorelasikan kueri dengan alamat IP tertentu.
Kalau bisa melakukan semua itu, jujur saja membuang upaya seperti itu bodoh. Karena dengan eksploitasi iOS, perangkat bisa dibuat mengirim data lokasi secara langsung. Tidak perlu repot menunggu target mengambil foto, melacak berbagai lookup landmark, dan mengumpulkan sedikit demi sedikit data tambahan dari tiap kueri sampai akhirnya mengidentifikasi lokasi target.
Semuanya mengingatkan pada XKCD 538.
https://machinelearning.apple.com/research/homomorphic-encry...
Rasanya ini seperti tabir asap untuk perlahan-lahan membawa kembali pemindaian CSAM setelah penolakan sebelumnya. Perilaku yang aktif secara default itu mencurigakan.
[1] https://www.wired.com/story/apple-photo-scanning-csam-commun...
Apakah fingerprinting seperti itu bisa dibatasi secara andal hanya pada landmark publik adalah pertanyaan menarik, dan bergantung pada detail implementasi yang tidak jelas.
Meski pencarian yang terlihat oleh pengguna dibatasi pada ‘landmark’, apakah proses itu—bahkan jika hanya di perangkat—juga membuat fingerprint terlebih dahulu untuk banyak hal lain? Jika iya, malware nonpersisten yang aktif sebentar bisa langsung menemukan gambar yang diminati tanpa akses yang lebih luas dan pemrosesan tambahan yang tadinya diperlukan.
Indeks global tentu saja akan cocok juga dengan penanda lain yang menurut Apple layak dicocokkan, meskipun tidak dikembalikan kepada pengguna.
Saya kira model untuk menemukan landmark di foto juga bisa dijalankan secara lokal, tetapi untuk yang ini saya tidak 100% yakin.
Kalau mau alasan sinis: fitur engineering sebesar ini tidak bisa direncanakan tanpa dokumen, dan dokumen semacam itu pasti akan muncul di pengadilan.
Alasan di permukaan: Apple benar-benar ingin menyediakan fitur berguna yang membutuhkan keterlibatan server.
Mengenai bagian yang mengatakan tidak memahami sebagian besar detail teknis dalam tulisan blog Apple: bagian yang dikutip saya pahami, dan maaf, tetapi tulisan ini sebenarnya bisa saja menjadi tulisan yang optimistis. Semacam “lihat teknologi baru yang keren ini!”
Saya juga membenci praktik Apple yang bertentangan dengan hacker dalam arti HN sama seperti orang lain, dan karena alasan-alasan seperti itu saya bahkan tidak punya perangkat Apple. Namun, mengatakan “tidak penting bagaimana mereka menyelesaikan masalah privasi, saya merasa ini tidak privat” tidak lantas menjadikannya fakta
Kebanyakan orang lain juga tidak memahami kata-kata yang dikutip itu, dan belum tentu mereka membaca sampai sejauh itu, jadi ini tampak seperti kritik yang tidak adil
Pemahaman saya saat itu, operasi seperti SUM bisa menghitung total dari daftar angka terenkripsi. Berkat cara enkripsinya, semua nilai bisa dijumlahkan tanpa didekripsi, dan hasilnya juga tetap terenkripsi sehingga pemiliknya bisa mendekripsi dan mendapatkan angka dengan akurasi yang diketahui
Jika Apple menggunakan enkripsi homomorfik dengan benar, seharusnya Apple tidak punya cara untuk melihat data yang diterima dari ponsel. Hal-hal lain yang disebut dalam tulisan itu adalah sarana untuk mencegah kebocoran informasi melalui metadata atau side channel
Fakta bahwa fitur ini aktif secara default tidak terlalu bagus. Semestinya ini menjadi fitur yang setelah upgrade menanyakan kepada pengguna apakah mereka ingin mengaktifkannya
Bagi banyak orang, otoritas itu bukan Apple. Saya memang mempercayai kebijakan privasi Apple secara hati-hati, tetapi banyak orang tidak mempercayai Apple, dan ada alasannya
Jadi ketika fitur Apple yang tidak di-opt-in membagikan data pribadi, dan penjelasan teknis Apple pun tidak dipahami, perasaan bahwa privasi dilanggar akan makin besar, dan itu berujung pada ketidakpercayaan yang lebih besar. Kalau begitu, apakah bisa disebut kritik yang tidak adil?
Tulisan blog saya ditulis dari sudut pandang pengguna Apple yang merasa kepercayaannya dikhianati. Tidak masalah menganggap teknologinya keren dari jarak aman, dan memang bisa saja begitu, tetapi itu tidak berkaitan dengan masalah utama, yaitu tidak adanya persetujuan pengguna
Bagi saya, ini secara umum tampak seperti fitur yang masuk akal dan diimplementasikan dengan sangat mempertimbangkan privasi pengguna. Namun, bisa jadi saya terlalu percaya pada penjelasannya
Tulisan ini secara umum tampak seperti pemancing kemarahan, dan menurut saya kita harus berhati-hati agar tidak “terpancing” oleh tulisan seperti ini di Hacker News. Mirip seperti kita harus berhati-hati saat tulisan pemancing kemarahan muncul di tabloid atau Facebook
Sebagian kekhawatiran dalam tulisan ini atau thread ini tampaknya besar kemungkinan tidak banyak memengaruhi pendapatan Apple. Kekhawatiran yang mungkin benar-benar dimiliki sebagian pelanggan adalah penggunaan data, dan saya menduga fitur ini kemungkinan besar dimatikan dalam mode data rendah
Saya penasaran apakah masalah semacam ini bisa diselesaikan dengan pengaturan seperti default privasi. Misalnya jurnalis, aktivis, sebagian departemen IT perusahaan, dan orang-orang yang menulis tulisan seperti sumbernya bisa memilih agar saat update OS, nilainya disetel untuk lebih sedikit berkomunikasi dengan jaringan. Tampaknya sulit membuat UI yang mudah dipahami. iOS sudah memiliki “Mode Lockdown”, tetapi saya tidak tahu apakah itu memengaruhi pengaturan ini
Dari cara kerja fitur yang terlihat di UI, sepertinya tidak begitu. Jika fitur diaktifkan oleh tindakan pengguna, saya bertanya-tanya apakah ini juga harus dianggap sebagai kontak ke server
Narasinya adalah bahwa hal-hal seperti itu tetap berada di dalam iPhone, berbeda dari OS lain yang menjijikkan dan dijalankan oleh perusahaan iklan itu. Bahwa Apple tidak pernah mengambil data keluar, Anda bukan produk, dan Apple peduli kepada Anda
Hal seperti ini, entah secara terpisah masuk akal atau tidak, sepenuhnya meruntuhkan narasi itu. Jika mereka bersedia berbohong seterang-terangan ini di papan reklame raksasa, kita tidak tahu apa lagi yang akan mereka lakukan ketika kepentingan menuntutnya
Saya rasa saya baru saja melihat pengaturan terkait pencarian yang mirip, yang sepertinya belum ada sebelum iOS 18
Jika masuk ke Pengaturan -> Pencarian, ada opsi “Help Apple Improve Search” dan aktif secara default
“Bantu tingkatkan Search dengan mengizinkan Apple menyimpan pencarian yang Anda masukkan di Safari(!!), Siri, dan Spotlight dengan cara yang tidak dikaitkan dengan Anda. Pencarian mencakup kueri pengetahuan umum dan permintaan seperti memutar musik atau mendapatkan petunjuk arah.”
Jika ini sudah ada sebelumnya, berarti diaktifkan lagi
Saya membutuhkan banyak detail agar bisa percaya bahwa cara penyimpanan Apple melindungi privasi saya secara andal. Tentu saja kutipan itu tidak benar-benar mengklaim demikian
Sebagai catatan, di macOS layanan photoanalysisd berjalan di latar belakang dan menelusuri foto meski Anda belum pernah membuka Apple Photos sekalipun
Layanan ini tidak bisa dinonaktifkan kecuali Anda mematikan SIP, yaitu System Integrity Protection, dan untuk itu diperlukan prosedur rumit berupa beberapa kali reboot dan melewati peringatan. Jika SIP dinyalakan kembali, layanan ini aktif lagi
Entah kenapa, Apple tampaknya cukup bersemangat menganalisis foto, terlepas dari pengguna menginginkannya atau tidak
Bagaimana kalau semua orang menjalankan generator gambar lokal yang dilatih dengan foto mereka sendiri, lalu sedikit merusaknya, kemudian memenuhi pengumpulan hash foto Apple dengan sampah?
Lalu apa berikutnya?
Itu akan menjadi tindakan pembersihan yang sangat bagus. Kita bisa belajar banyak dari siapa yang marah dan seberapa marah mereka
Hal ini mengingatkan pada kemarahan terhadap sistem notifikasi paparan Apple dan Google yang menjaga privasi pada masa COVID
Bahwa paparan bisa diberitahukan tanpa pelacakan memang berlawanan dengan intuisi, tetapi teknologi tersebut memang memungkinkannya
Di sini juga, penulis tampaknya bersandar pada reaksi spontan terhadap pelanggaran privasi, tanpa benar-benar mencoba menilai efektivitas teknologi seperti vektorisasi sisi klien, privasi diferensial, relay OHTTP, dan enkripsi homomorfik
Namun saya 100% setuju bahwa untuk fitur seperti ini Apple harus meminta persetujuan pengguna terlebih dahulu
Jika ada yang memberi tautan kode sumbernya, saya bisa melihat persis apa yang dilakukannya tanpa harus percaya pada omongan orang acak di internet
Lebih baik lagi kalau saya bisa mengompilasinya sendiri
Terkait bagian “tidak memahami sebagian besar detail teknis dalam tulisan blog Apple”, saya memahaminya
Vektorisasi sisi klien: foto diproses secara lokal untuk menyiapkan representasi vektor yang tidak dapat dibalik sebelum dikirim. Anggap saja seperti hash berbasis makna
Privasi diferensial: cukup banyak noise ditambahkan ke vektor sebelum dikirim. Kadarnya cukup untuk membuat pencarian balik vektor menjadi mustahil. Di sini tingkat noise-nya ε = 0,8, yang terbilang cukup baik untuk privasi
Relay OHTTP: karena dikirim melalui pihak ketiga, Apple tidak bisa mengetahui alamat IP. Kontennya dienkripsi sehingga pihak ketiga pun tidak mempelajari apa pun. Ada risiko bahwa informasi sebatas “IP X adalah pengguna Apple Photos” terekspos, tetapi isi library tidak bisa diketahui
Enkripsi homomorfik: operasi pencarian dilakukan di server menggunakan data terenkripsi. Apple tidak bisa mendekripsi isi vektor maupun isi respons, dan hanya klien yang bisa mendekripsi hasil pencarian
Inilah bentuk desain privasi yang baik. Ada beberapa lapis keamanan privasi, dan satu saja dari tiga yang terakhir seharusnya sudah cukup untuk perlindungan privasi
Terkait argumen bahwa “tingkat toleransi tiap orang terhadap risiko pelanggaran privasi harus ditentukan oleh masing-masing pengguna”, penulis, meski tampak seperti peneliti keamanan Apple, pada dasarnya mengatakan bahwa ia tidak bisa membuat pilihan yang berbasis informasi di sini
Saya tidak yakin mana penilaian yang benar. Namun kesimpulan “karena itu satu-satunya cara menjamin privasi komputasi adalah tidak mengirim data ke luar perangkat” tidak benar. Ada alat yang menyediakan privasi sambil tetap menggunakan layanan, misalnya privasi diferensial dan enkripsi homomorfik. Ini sangat kompleks dan pengguna secara realistis tidak bisa menilai risikonya, tetapi jika Anda menginginkan fitur yang membutuhkan dataset lebih besar dari disk atau konten yang sering berubah, alat seperti ini diperlukan
Banyak pengguna mungkin setuju dengan fitur seperti ini. Seperti yang Anda katakan, mungkin saja sangat aman. Tetapi masalahnya adalah semua orang dianggap setuju secara default
Pengguna tidak perlu gelar doktor untuk memahami “fitur ini mengirim data tentang foto Anda ke server Apple demi pencarian yang lebih baik”
Kompleksitas perlindungan privasi tidak membenarkan penghapusan pilihan pengguna. Dengan logika itu, fitur teknis apa pun tidak perlu ditanyakan kepada pengguna
Banyak pengguna yang sadar privasi mengikuti prinsip sederhana: mereka ingin mengontrol apa yang keluar dari perangkat, apa pun metode perlindungannya
Argumen “terlalu kompleks untuk dijelaskan” bisa membenarkan default pelanggaran privasi apa pun. Apakah Anda akan menerapkan standar yang sama pada logika bahwa layanan lokasi boleh dinyalakan secara default karena penjelasan teknologi GPS terlalu kompleks?
Solusi sebenarnya sederhana. Jelaskan fitur dengan bahasa yang mudah, tekankan manfaatnya, uraikan langkah-langkah perlindungan privasi, lalu biarkan pengguna memilih. Apple sudah melakukan ini pada banyak fitur lain. Default mati dan opt-in adalah prinsip inti desain yang menghormati privasi, sekuat apa pun perlindungan di lapisan bawahnya
Jeff Johnson mengembangkan aplikasi untuk platform Apple, terutama ekstensi Safari, dan sering menulis blog tentang ketidaknyamanannya terhadap Apple, tetapi ia bukan peneliti keamanan