2 poin oleh GN⁺ 2024-12-29 | 1 komentar | Bagikan ke WhatsApp
  • Enhanced Visual Search ditambahkan ke Photos di iOS 18 dan macOS Sequoia, dan di iPhone serta Mac milik penulis fitur ini aktif secara default
  • Fitur ini membantu pencarian dengan mencocokkan landmark dan tempat menarik dalam foto secara privat dengan indeks global di server Apple
  • Apple menjelaskan bahwa mereka menggunakan enkripsi homomorfik, privasi diferensial, dan relay OHTTP agar informasi foto tidak dapat diketahui, tetapi komunikasi dengan server itu sendiri menjadi inti perdebatan soal privasi
  • Fokus kritiknya bukan pada niat buruk Apple, melainkan pada kemungkinan bug perangkat lunak, dengan catatan bahwa kerentanan terus muncul di catatan rilis keamanan Apple sebagai dasar argumen tersebut
  • Di macOS, komunikasi bisa diblokir sampai batas tertentu dengan Little Snitch, tetapi di iOS tidak ada pilihan serupa sehingga pengguna sulit melindungi diri sendiri

Aktivasi default Enhanced Visual Search

  • Item baru bernama Enhanced Visual Search ditambahkan ke pengaturan Photos di iPhone dan aktif secara default
  • Pengaturan yang sama juga baru ditambahkan ke Photos di macOS Sequoia, dan di Mac juga aktif secara default
  • Penulis menonaktifkan pengaturan tersebut secara manual sebelum mengambil tangkapan layar

Cara kerjanya menurut dokumen Apple

  • Dokumen Apple Photos & Privacy menjelaskan bahwa Enhanced Visual Search memungkinkan pencarian foto berdasarkan landmark atau tempat menarik
  • Perangkat mencocokkan lokasi dalam foto secara privat dengan indeks global di server Apple
  • Apple menyatakan mereka menggunakan teknologi berikut untuk melindungi privasi
    • Enkripsi homomorfik

    • Privasi diferensial

      • Relay OHTTP yang menyembunyikan alamat IP
      • Menurut dokumen Apple, pengaturan ini bisa dimatikan di iOS·iPadOS melalui Settings > Apps > Photos, dan di Mac melalui Photos > Settings > General
      • Artikel Apple Machine Learning Research Combining Machine Learning and Homomorphic Encryption in the Apple Ecosystem dipublikasikan pada 24 Oktober 2024, sedangkan iOS 18 dan macOS 15 dirilis untuk publik pada 16 September 2024

Kritik terhadap perlindungan privasi

  • Titik awal kritiknya adalah bahwa Apple meningkatkan pengalaman di perangkat dengan komunikasi ke server meskipun pengguna tidak memintanya
  • Menurut standar penulis, sesuatu hanya benar-benar privat jika seluruh komputasi selesai di perangkat, dan bila data keluar ke server produsen maka sulit dianggap sepenuhnya privat
  • Penulis juga menyatakan bahwa ia tidak bisa menilai langsung apakah implementasi Apple benar-benar aman secara teknis
  • Namun, karena kerentanan terus muncul di catatan rilis keamanan Apple, ia menilai klaim privasi Apple sulit dipercaya begitu saja
  • Kritiknya adalah bahwa bahkan tanpa niat buruk atau konspirasi, pengguna tetap bisa menjadi rentan hanya karena bug perangkat lunak, dan Apple tidak bisa menjamin perangkat lunak tanpa bug

Pilihan pengguna dan alat pemblokiran

  • Penulis tidak tertarik pada Enhanced Visual Search, sehingga bahkan jika fitur itu bekerja sempurna, menurutnya tidak ada manfaat yang sepadan dengan risikonya
  • Cara menyalakan fitur tanpa izin pengguna dikritik sebagai tindakan yang tidak menghormati pengguna maupun preferensi mereka
  • Ia berpendapat bahwa slogan iklan Apple, “What happens on your iPhone, stays on your iPhone.”, tidak sesuai dengan kasus ini
  • Di macOS, Little Snitch dapat digunakan untuk sebagian besar memblokir komunikasi jarak jauh perangkat lunak Apple
  • Di iOS, alat seperti Little Snitch tidak diizinkan, sehingga terasa seperti Apple menghalangi pengguna untuk melindungi diri sendiri

Materi lanjutan

1 komentar

 
GN⁺ 2024-12-29
Komentar Hacker News
  • Yang saya inginkan sangat sederhana: saya ingin perangkat lunak yang tidak mengirim apa pun ke internet sebelum ada niat eksplisit
    Rekayasa untuk membuat fitur ini tampak privat itu keren, dan mengimplementasikan fitur seperti ini sendiri bukan masalah, tetapi fitur ini harus benar-benar opt-in
    Selama perangkat lunak memperlakukan pengguna akhir serta sumber daya seperti data dan koneksi jaringan mereka sebagai taman bermain vendor, kepercayaan akan terus terkikis. Data perangkat lokal tidak boleh bocor secara tak terduga keluar dari antarmuka nirkabel, dan fitur yang membuat data lokal keluar ke jaringan harus selalu terkait dengan niat pengguna
    Jawaban sinis atas mengapa Apple tidak sekadar bertanya kepada pengguna apakah ingin mengaktifkan fitur ini adalah, menurut saya, Apple tahu bahwa jika ditanya sebagian pengguna akan langsung menolak, tetapi Apple merasa mereka lebih tahu daripada para pengguna itu. Saya tidak suka sikap seperti ini, dan menurut saya ini juga alasan yang sama mengapa keluhan terhadap telemetri opt-out makin besar

    • Pola pikir seperti itu melahirkan banner cookie yang mengerikan
      Menambah lebih banyak dialog yang sebagian besar pengguna akan tekan “Izinkan” tanpa berpikir tidak menyelesaikan masalah
      Masyarakat pada dasarnya sudah menerima bahwa memberikan akses data kepada pihak ketiga itu tidak masalah, dan menambahkan friksi di sini berarti menghukum 98% orang demi 2% yang memang tidak akan menggunakan layanan seperti ini
      Jika publik lebih teredukasi, keseimbangannya mungkin berubah, tetapi kenyataannya tidak demikian, dan pengalaman pengguna yang baik harus mencerminkan kenyataan
    • Opt-in tidak berfungsi, dan memang tidak pernah berfungsi sejak awal
      Mayoritas besar pengguna, lebih dari 95%, tidak memahami arti popup, tampaknya bahkan tidak punya kemampuan untuk membacanya, dan selalu menerima, selalu menolak, atau menekan tombol yang lebih mencolok
      Cobalah amati anggota keluarga yang bukan dari industri teknologi dan bukan kalangan profesional/manajerial, lalu tanyakan apa popup yang baru saja mereka tutup dan mengapa mereka menutupnya; itu akan memberi pelajaran terbaik tentang interaksi antara teknologi dan privasi
    • Foto iOS sejak lama sudah bisa mencari foto berdasarkan alamat tempat foto diambil
      Untuk itu, perlu mengambil lintang/bujur lokasi foto dan mengubahnya menjadi alamat yang dapat dipahami manusia lewat pencarian reverse geocoding, dan ini hampir selalu dilakukan dengan mengajukan kueri ke layanan reverse geocoding global
      Saya penasaran apakah fitur ini juga dianggap pelanggaran privasi sehingga perlu opt-in. Jika tidak, saya tidak tahu mengapa layanan reverse geocoding lebih privat daripada layanan pencarian landmark
    • Hasilnya adalah sesuatu seperti https://chromewebstore.google.com/detail/i-still-dont-care-a...
      Secara pribadi, saya tidak percaya popup seperti ini mencapai tujuan apa pun. Pada akhirnya, kita tidak bisa membuktikan secara masuk akal bahwa situs web bertindak dengan niat baik. Meski aplikasi bertanya apakah boleh menghubungi server, tidak ada jaminan bahwa menekan “Tidak” benar-benar mencegah pelacakan
      Saya terus terkejut melihat orang meyakinkan diri bahwa privasi dalam skala besar akan bekerja lewat berbagai kombinasi tombol ya/tidak. Hanya ada dua cara untuk memercayai perangkat lunak: 1. secara naif memeriksa apakah ada tulisan “privacy first” di suatu tempat 2. memahami sampai ke perintah apa saja yang dapat dijalankan oleh perangkat lunak yang sedang berjalan
      Popup izin juga kurang granularitas. Saat mengizinkan akses ke daftar kontak, kontak mana sebenarnya yang diakses? Bisakah hanya mengizinkan nama dan memblokir nomor telepon? Apakah pemrosesannya offline atau online? Jika online, apakah harus menampilkan popup akses internet lagi? Lalu apakah jenis aktivitas internetnya juga harus bisa difilter? Jika terus diturunkan seperti ini, pada akhirnya kita akan sampai pada sistem izin yang Turing-complete; jika tidak, akan ada celah dalam “privasi”
    • Meski ada opt-in, vendor akan terus mengganggu pengguna sampai mereka menekan “Ya” pada saat lengah
      Saya jelas pernah melihat kotak yang tidak saya centang ternyata tercentang. Saya ingin mematikan hal-hal seperti ini dan membuatnya tidak bisa diaktifkan lagi, tetapi vendor tentu tidak akan mengizinkannya. Karena itu saya memakai Linux
  • Pengguna aplikasi open source gratis saya tampaknya terkejut mengetahui bahwa kami sama sekali tidak punya insight tentang pola penggunaan
    Ada situasi ketika sedikit telemetri anonim akan sangat membantu, tetapi saya tidak berniat menyentuhnya
    Opt-in bukan hanya sangat mengurangi jumlah data, tetapi juga memasukkan bias besar ke data yang dipilih sehingga membuatnya tidak berguna. Orang-orang yang akan opt-in mungkin bukan sampel yang baik dari “pengguna tipikal”
    Opt-out tidak dapat diterima bagi sebagian pengguna, apa pun mekanisme perlindungan atau jaminan yang diberikan, dan mereka akan menyampaikannya dengan tegas
    Saya paham bahwa pelaku jahat mudah menyalahgunakan telemetri, dan bahwa “data anonim” bisa ternyata sama sekali tidak anonim dalam beragam cara yang mengejutkan. Tetap saja, rasanya menyesal seperti “inilah sebabnya kita tidak bisa punya hal-hal bagus”

    • Saya tidak ingat pernah melihatnya di mana, tetapi ada situs yang mengumpulkan data analitik di sisi klien di semacam circular buffer, lalu memungkinkan pengguna mengirimnya sekali saja, selalu mengirimnya, atau mengunduhnya sendiri dari menu pengaturan
      Ketika terjadi error, muncul toast yang meminta pengguna membagikan data analitik untuk membantu pemecahan masalah, dan tentu saja bisa ditolak. Mungkin itu sistem terbaik yang pernah saya lihat, tetapi saya tidak ingat situs yang mana
    • Intinya semuanya terikat pada persetujuan. Jika tidak ada opt-out, persetujuan sama sekali tidak ada, dan jika default-nya opt-out, kualitas persetujuan turun drastis. Kepercayaan adalah satu-satunya sarana menuju persetujuan
      1. Untuk membangun kepercayaan, diperlukan tiga jalur: opt-in, persetujuan bergaya survei, dan opt-out. Survei adalah validator aktif atas kepercayaan dan membantu komunikasi ber-bandwidth rendah. Pertanyaan harus diajukan saat pengguna pertama kali memakai aplikasi, atau saat berikutnya aplikasi dijalankan setelah fitur ini ditambahkan
      2. Informasi analitik persis yang diinginkan harus diberikan kepada pengguna akhir agar pengguna juga bisa mem-parsing-nya. Kepercayaan meningkat jika tersedia laporan atau tampilan yang memungkinkan pengguna menilai sendiri informasi yang diizinkan untuk dibagikan
      3. Izin yang dipercaya akan menghasilkan lebih banyak persetujuan. Untuk pengguna yang opt-in, dukungan prioritas untuk fitur dan bug juga bisa disesuaikan. Riwayat analitik dan informasi performa dapat membantu menyelesaikan bug yang baru saja dilaporkan
        Apple, Microsoft, Google, dan lainnya menangani pembagian analitik secara samar tanpa rincian, dan juga tidak menjelaskan dengan jelas bagaimana itu digunakan maupun bisa disalahgunakan. Kebanyakan bahkan tidak menyediakan opt-out. Saya tidak memercayai organisasi-organisasi seperti ini, tetapi harus berhadapan dengan mereka dalam hidup. Facebook atau Twitter tidak perlu saya gunakan, dan memang tidak saya gunakan. Survei Steam saya terima
        Untuk mengatasi kurangnya informasi analitik yang bisa menguntungkan komunitas open source, RFC standar analitik yang disepakati bisa menjadi satu langkah. Ini adalah cara kedua pihak menyetujui komunikasi yang telah disepakati
        Dari sudut pandang saya, metadata juga data pribadi. Tanpa pengguna, data maupun metadata tidak ada. Karena pengguna akhir adalah entropi dari metadata, pemilik metadata dan data adalah pengguna
    • Saya pikir mungkin saja statistik dikumpulkan di perangkat, lalu setiap beberapa bulan ditampilkan pop-up yang memperlihatkan statistik tersebut
      Saya tidak terlalu yakin bias apa yang akan ditambahkan
      Misalnya, dengan bertanya “Kami membuat aplikasi ini dan menganggap privasi penting. Inilah informasi yang dikumpulkan selama penggunaan dalam satu bulan terakhir. Bolehkah kami mengirim informasi ini kepada kami untuk meningkatkan aplikasi?”, sambil menampilkan data yang dikumpulkan dalam bentuk yang dapat dibaca manusia
    • Tidak jelas dengan sendirinya mengapa opt-in membuat data tidak berguna. Ini mungkin juga terkait dengan bagaimana opt-in disajikan
      Secara umum saya berharap ini menjadi solusi yang dapat dijalankan. Meski kelompok opt-in berbeda dari “pengguna tipikal”, itu adalah data terbaik yang bisa diperoleh secara jujur dan etis. Bukankah itu jelas lebih baik daripada tidak ada data sama sekali
      Di semua situs web dan aplikasi yang menampilkan banner persetujuan cookie opt-in, keadaan seperti ini sebenarnya sudah berlaku secara implisit
    • Ini adalah salah satu alasan utama orang pada umumnya membuat sesuatu di atas web
      Sangat sulit memperbaiki software desktop, dan pengguna Linux khususnya cenderung memusuhi pola-pola yang memungkinkan perbaikan
  • 100% sepenuhnya setuju:
    “Satu-satunya cara menjamin privasi komputasi adalah tidak mengirim data keluar dari perangkat”
    “Sejauh mana risiko pelanggaran privasi mau ditanggung seharusnya diputuskan oleh masing-masing pengguna. [...] Dengan menyalakan ‘fitur’ tanpa bertanya, Apple tidak menghormati pengguna dan preferensinya. Saya tidak pernah ingin iPhone saya menghubungi server Apple.”
    Terlepas dari seberapa diobfuskasi, “aman”, atau “melindungi privasi” fitur itu, fakta bahwa informasi apa pun yang diturunkan dari konten pribadi dikirim tanpa persetujuan sebelumnya tidak berubah.
    Sekalipun informasinya dilindungi, setiap kueri jaringan adalah informasi. Timestamp bahwa tindakan tertentu dilakukan pada waktu tertentu; misalnya, jika sesuatu dikirim ke layanan ini segera setelah foto baru ditambahkan, itu bisa mengungkap fakta bahwa sebuah foto diambil, lokasi tertentu yang dikorelasikan dengan informasi lokasi pada saat itu, dan sebagainya—ini baru puncak gunung es. Mengirim informasi dari perangkat pengguna tanpa persetujuan eksplisit adalah pelanggaran privasi.

    • Kalau begitu apakah pesan Signal juga tidak aman karena dikirim, dan “obfuscation” tidak cukup untuk melindungi data? Saya penasaran apakah penulis membaca apa yang Apple katakan benar-benar dilakukan pada data sebelum dikirim—yang ia kutip lalu belakangan ia akui tidak ia pahami.
      Argumen soal metadata menurut saya mungkin saja, tetapi di sana pun ada banyak asumsi. Khususnya perlu asumsi bahwa Apple sebenarnya tidak melakukan OHTTP dan bersekongkol untuk mencari tahu kapan pengguna mengambil foto. Kalau pada dasarnya kita tidak mempercayai matematika, saya tidak tahu di mana ketidakpastian dan kecurigaan itu akan berakhir.
    • Premis “jika kita mengasumsikan sesuatu dikirim ke layanan ini segera setelah foto baru ditambahkan, seperti saat mengambil foto” itu keliru, lalu dari situ langsung melompat ke kesimpulan.
      Mudah diverifikasi bahwa ini tidak terjadi tepat setelah foto diambil. Pertama, trafik jaringan akan menunjukkannya, dan kenyataannya tidak begitu. Kedua, homomorphic encryption biayanya besar sehingga tidak bisa dilakukan seperti itu. Photos biasanya tidak langsung melakukan sinkronisasi, dan ini terlihat dari kebanyakan pengguna iPhone yang diberi tahu oleh aplikasi Photos kapan sinkronisasi dilakukan. Pekerjaan yang mahal biasanya masuk antrean sampai perangkat tersambung ke daya dan berada di Wi-Fi.
    • Berapa banyak kapasitas yang diperlukan untuk menyimpan model semua lokasi yang diketahui di seluruh dunia dan objek-objek umum?
      Misalnya, saat saya mengirim foto anjing di dalam bak mandi kepada seorang teman, AirPods-nya melalui iPhone memberi tahu bahwa “seseorang mengirim foto anjing di dalam bak mandi”. Teman saya bilang itu keren, dan secara pribadi saya juga menganggapnya fitur yang berguna. Hanya saja saya tidak tahu sejauh mana ini membutuhkan pemrosesan di luar perangkat.
    • Semua persoalan seperti ini sudah dibahas dalam posting blog Apple tentang implementasi fitur ini. Ada dua langkah yang diterapkan untuk mengurangi risiko.
      1. iOS membuat kueri palsu tambahan, dan semua kueri melewati scheduler yang membuat kueri asli dan palsu tidak bisa dibedakan berdasarkan waktu lookup, maupun mengidentifikasi waktu pengambilan foto.
      2. Semua kueri dilakukan secara anonim menggunakan layanan relay pihak ketiga. Jadi Apple tidak bisa mengaitkan kueri tertentu dengan perangkat atau alamat IP tertentu.
        Dengan mempertimbangkan dua mitigasi ini, untuk memperoleh data pribadi lewat fitur ini, pertama-tama harus membobol ponsel target untuk mematikan kueri palsu, lalu membobol pihak relay untuk mengorelasikan kueri dengan alamat IP tertentu.
        Kalau bisa melakukan semua itu, jujur saja membuang upaya seperti itu bodoh. Karena dengan eksploitasi iOS, perangkat bisa dibuat mengirim data lokasi secara langsung. Tidak perlu repot menunggu target mengambil foto, melacak berbagai lookup landmark, dan mengumpulkan sedikit demi sedikit data tambahan dari tiap kueri sampai akhirnya mengidentifikasi lokasi target.
        Semuanya mengingatkan pada XKCD 538.
        https://machinelearning.apple.com/research/homomorphic-encry...
  • Rasanya ini seperti tabir asap untuk perlahan-lahan membawa kembali pemindaian CSAM setelah penolakan sebelumnya. Perilaku yang aktif secara default itu mencurigakan.
    [1] https://www.wired.com/story/apple-photo-scanning-csam-commun...

    • Saya berpikir persis sama. Tampaknya seperti: “Kita punya teknologi fingerprinting gambar yang canggih, tetapi penggunaannya untuk deteksi CSAM terlalu kontroversial sehingga tidak bisa dirilis; jadi mari masukkan alur intinya ke sesuatu yang tampak berguna bagi pengguna, agar kodenya tetap hidup, terus ditingkatkan, dan siap diperluas di masa depan.”
      Apakah fingerprinting seperti itu bisa dibatasi secara andal hanya pada landmark publik adalah pertanyaan menarik, dan bergantung pada detail implementasi yang tidak jelas.
      Meski pencarian yang terlihat oleh pengguna dibatasi pada ‘landmark’, apakah proses itu—bahkan jika hanya di perangkat—juga membuat fingerprint terlebih dahulu untuk banyak hal lain? Jika iya, malware nonpersisten yang aktif sebentar bisa langsung menemukan gambar yang diminati tanpa akses yang lebih luas dan pemrosesan tambahan yang tadinya diperlukan.
    • Benar. Ini cara menyuntikkan komponen kontak server dengan alasan “pencocokan lokasi” yang tampak tidak berbahaya.
      Indeks global tentu saja akan cocok juga dengan penanda lain yang menurut Apple layak dicocokkan, meskipun tidak dikembalikan kepada pengguna.
    • Ini persis sama dengan cara Microsoft “mundur” dari Recall. Lalu pada akhirnya mereka memasukkannya lagi dan membuatnya tidak bisa dihapus.
    • Saya juga berpikir begitu. Teknologinya begitu mahal, sepertinya mereka perlu menguji atau menjalankannya untuk membuktikan bahwa itu privat.
      Saya kira model untuk menemukan landmark di foto juga bisa dijalankan secara lokal, tetapi untuk yang ini saya tidak 100% yakin.
    • Tidak. Apa pun kekurangan Apple yang lain, saya tidak berpikir begitu.
      Kalau mau alasan sinis: fitur engineering sebesar ini tidak bisa direncanakan tanpa dokumen, dan dokumen semacam itu pasti akan muncul di pengadilan.
      Alasan di permukaan: Apple benar-benar ingin menyediakan fitur berguna yang membutuhkan keterlibatan server.
  • Mengenai bagian yang mengatakan tidak memahami sebagian besar detail teknis dalam tulisan blog Apple: bagian yang dikutip saya pahami, dan maaf, tetapi tulisan ini sebenarnya bisa saja menjadi tulisan yang optimistis. Semacam “lihat teknologi baru yang keren ini!”
    Saya juga membenci praktik Apple yang bertentangan dengan hacker dalam arti HN sama seperti orang lain, dan karena alasan-alasan seperti itu saya bahkan tidak punya perangkat Apple. Namun, mengatakan “tidak penting bagaimana mereka menyelesaikan masalah privasi, saya merasa ini tidak privat” tidak lantas menjadikannya fakta
    Kebanyakan orang lain juga tidak memahami kata-kata yang dikutip itu, dan belum tentu mereka membaca sampai sejauh itu, jadi ini tampak seperti kritik yang tidak adil

    • Enkripsi homomorfik saya dengar dari makalah riset beberapa tahun lalu
      Pemahaman saya saat itu, operasi seperti SUM bisa menghitung total dari daftar angka terenkripsi. Berkat cara enkripsinya, semua nilai bisa dijumlahkan tanpa didekripsi, dan hasilnya juga tetap terenkripsi sehingga pemiliknya bisa mendekripsi dan mendapatkan angka dengan akurasi yang diketahui
      Jika Apple menggunakan enkripsi homomorfik dengan benar, seharusnya Apple tidak punya cara untuk melihat data yang diterima dari ponsel. Hal-hal lain yang disebut dalam tulisan itu adalah sarana untuk mencegah kebocoran informasi melalui metadata atau side channel
      Fakta bahwa fitur ini aktif secara default tidak terlalu bagus. Semestinya ini menjadi fitur yang setelah upgrade menanyakan kepada pengguna apakah mereka ingin mengaktifkannya
    • Kritik utamanya adalah data pribadi dan sensitif dikirim ke Apple tanpa persetujuan dan peringatan
    • Bagaimana bisa mempercayai sesuatu yang tidak Anda pahami? Pada akhirnya, kepercayaan harus datang dari seseorang atau organisasi yang Anda yakini memahami masalah semacam itu, yaitu otoritas
      Bagi banyak orang, otoritas itu bukan Apple. Saya memang mempercayai kebijakan privasi Apple secara hati-hati, tetapi banyak orang tidak mempercayai Apple, dan ada alasannya
      Jadi ketika fitur Apple yang tidak di-opt-in membagikan data pribadi, dan penjelasan teknis Apple pun tidak dipahami, perasaan bahwa privasi dilanggar akan makin besar, dan itu berujung pada ketidakpercayaan yang lebih besar. Kalau begitu, apakah bisa disebut kritik yang tidak adil?
    • Apakah Anda mengkritik orang yang punya kepentingan, padahal Anda sendiri tidak punya perangkat Apple?
      Tulisan blog saya ditulis dari sudut pandang pengguna Apple yang merasa kepercayaannya dikhianati. Tidak masalah menganggap teknologinya keren dari jarak aman, dan memang bisa saja begitu, tetapi itu tidak berkaitan dengan masalah utama, yaitu tidak adanya persetujuan pengguna
  • Bagi saya, ini secara umum tampak seperti fitur yang masuk akal dan diimplementasikan dengan sangat mempertimbangkan privasi pengguna. Namun, bisa jadi saya terlalu percaya pada penjelasannya
    Tulisan ini secara umum tampak seperti pemancing kemarahan, dan menurut saya kita harus berhati-hati agar tidak “terpancing” oleh tulisan seperti ini di Hacker News. Mirip seperti kita harus berhati-hati saat tulisan pemancing kemarahan muncul di tabloid atau Facebook
    Sebagian kekhawatiran dalam tulisan ini atau thread ini tampaknya besar kemungkinan tidak banyak memengaruhi pendapatan Apple. Kekhawatiran yang mungkin benar-benar dimiliki sebagian pelanggan adalah penggunaan data, dan saya menduga fitur ini kemungkinan besar dimatikan dalam mode data rendah
    Saya penasaran apakah masalah semacam ini bisa diselesaikan dengan pengaturan seperti default privasi. Misalnya jurnalis, aktivis, sebagian departemen IT perusahaan, dan orang-orang yang menulis tulisan seperti sumbernya bisa memilih agar saat update OS, nilainya disetel untuk lebih sedikit berkomunikasi dengan jaringan. Tampaknya sulit membuat UI yang mudah dipahami. iOS sudah memiliki “Mode Lockdown”, tetapi saya tidak tahu apakah itu memengaruhi pengaturan ini

    • Yang seharusnya dilakukan Apple secara harfiah hanyalah tidak mengaktifkannya secara default. Mengirim sesuatu lewat jaringan tanpa bertanya makin mengurangi kepercayaan terhadap Apple
    • Ini fitur yang masuk akal, tetapi tetap membutuhkan opt-in dari pengguna. Untuk mengurangi kerepotan, opt-in bisa ditanyakan sekaligus saat instalasi atau upgrade
    • Yang khususnya tidak jelas adalah apakah iOS memindai semua data di dalam ponsel lalu mengirimkannya sebagai bagian dari indeks publik
      Dari cara kerja fitur yang terlihat di UI, sepertinya tidak begitu. Jika fitur diaktifkan oleh tindakan pengguna, saya bertanya-tanya apakah ini juga harus dianggap sebagai kontak ke server
    • Jika perusahaan lain yang melakukannya, mungkin ini bisa dilihat sebagai fitur masuk akal yang dibuat dengan cara masuk akal. Masalahnya adalah Apple telah menghabiskan puluhan juta hingga ratusan juta dolar untuk mengiklankan bahwa mereka tidak melakukan hal seperti ini
      Narasinya adalah bahwa hal-hal seperti itu tetap berada di dalam iPhone, berbeda dari OS lain yang menjijikkan dan dijalankan oleh perusahaan iklan itu. Bahwa Apple tidak pernah mengambil data keluar, Anda bukan produk, dan Apple peduli kepada Anda
      Hal seperti ini, entah secara terpisah masuk akal atau tidak, sepenuhnya meruntuhkan narasi itu. Jika mereka bersedia berbohong seterang-terangan ini di papan reklame raksasa, kita tidak tahu apa lagi yang akan mereka lakukan ketika kepentingan menuntutnya
  • Saya rasa saya baru saja melihat pengaturan terkait pencarian yang mirip, yang sepertinya belum ada sebelum iOS 18
    Jika masuk ke Pengaturan -> Pencarian, ada opsi “Help Apple Improve Search” dan aktif secara default
    “Bantu tingkatkan Search dengan mengizinkan Apple menyimpan pencarian yang Anda masukkan di Safari(!!), Siri, dan Spotlight dengan cara yang tidak dikaitkan dengan Anda. Pencarian mencakup kueri pengetahuan umum dan permintaan seperti memutar musik atau mendapatkan petunjuk arah.”
    Jika ini sudah ada sebelumnya, berarti diaktifkan lagi

    • Bagian “menyimpan pencarian yang dimasukkan di Safari [...] dengan cara yang tidak dikaitkan dengan Anda” itu, bahkan dari riset de-anonimisasi 10 tahun lalu saja sudah jelas bahwa riwayat pencarian dapat sepenuhnya mengungkap pengguna
      Saya membutuhkan banyak detail agar bisa percaya bahwa cara penyimpanan Apple melindungi privasi saya secara andal. Tentu saja kutipan itu tidak benar-benar mengklaim demikian
    • Ini lebih serius daripada tulisan aslinya. Di alam semesta alternatif macam apa Apple hidup sampai mereka menganggap tidak apa-apa menjadikan pengumpulan riwayat pencarian orang-orang sebagai default tanpa persetujuan?
    • Sial, benar. Di perangkat saya juga aktif secara default, dan saya rasa tidak mungkin saya pernah menyetujuinya
    • Benar. Ini juga pengaturan lain yang aktif secara default
  • Sebagai catatan, di macOS layanan photoanalysisd berjalan di latar belakang dan menelusuri foto meski Anda belum pernah membuka Apple Photos sekalipun
    Layanan ini tidak bisa dinonaktifkan kecuali Anda mematikan SIP, yaitu System Integrity Protection, dan untuk itu diperlukan prosedur rumit berupa beberapa kali reboot dan melewati peringatan. Jika SIP dinyalakan kembali, layanan ini aktif lagi
    Entah kenapa, Apple tampaknya cukup bersemangat menganalisis foto, terlepas dari pengguna menginginkannya atau tidak

    • Mungkin Anda juga akan terkejut mengetahui bahwa Spotlight juga menelusuri semua file di Mac
    • Tapi bukankah itu berjalan secara lokal di Mac?
    • Secara teori, CSAM mungkin saja sudah menjadi bagian dari suatu layanan lokal. Begitu akun yang terhubung ke perangkat menjadi diperlukan, privasi sudah berakhir. Maksudnya bukan hanya iCloud, tetapi akun yang terhubung ke perangkat itu sendiri. Untuk memakai komputer Linux tidak diperlukan akun
    • Apakah ia menghubungi server? Saya tidak keberatan file saya dipindai. Yang saya khawatirkan adalah detail data pribadi saya meninggalkan perangkat
    • Bagian “Entah kenapa, Apple tampaknya cukup bersemangat menganalisis foto, terlepas dari pengguna menginginkannya atau tidak” bukankah rentan jika pengguna akhir meracuninya?
      Bagaimana kalau semua orang menjalankan generator gambar lokal yang dilatih dengan foto mereka sendiri, lalu sedikit merusaknya, kemudian memenuhi pengumpulan hash foto Apple dengan sampah?
      Lalu apa berikutnya?
      Itu akan menjadi tindakan pembersihan yang sangat bagus. Kita bisa belajar banyak dari siapa yang marah dan seberapa marah mereka
  • Hal ini mengingatkan pada kemarahan terhadap sistem notifikasi paparan Apple dan Google yang menjaga privasi pada masa COVID
    Bahwa paparan bisa diberitahukan tanpa pelacakan memang berlawanan dengan intuisi, tetapi teknologi tersebut memang memungkinkannya
    Di sini juga, penulis tampaknya bersandar pada reaksi spontan terhadap pelanggaran privasi, tanpa benar-benar mencoba menilai efektivitas teknologi seperti vektorisasi sisi klien, privasi diferensial, relay OHTTP, dan enkripsi homomorfik
    Namun saya 100% setuju bahwa untuk fitur seperti ini Apple harus meminta persetujuan pengguna terlebih dahulu

    • Saya ingin menilai privasi teknologi-teknologi ini
      Jika ada yang memberi tautan kode sumbernya, saya bisa melihat persis apa yang dilakukannya tanpa harus percaya pada omongan orang acak di internet
      Lebih baik lagi kalau saya bisa mengompilasinya sendiri
    • Fitur COVID itu bersifat opt-in. Yang dikeluhkan penulis sekarang adalah tidak adanya opt-in
  • Terkait bagian “tidak memahami sebagian besar detail teknis dalam tulisan blog Apple”, saya memahaminya
    Vektorisasi sisi klien: foto diproses secara lokal untuk menyiapkan representasi vektor yang tidak dapat dibalik sebelum dikirim. Anggap saja seperti hash berbasis makna
    Privasi diferensial: cukup banyak noise ditambahkan ke vektor sebelum dikirim. Kadarnya cukup untuk membuat pencarian balik vektor menjadi mustahil. Di sini tingkat noise-nya ε = 0,8, yang terbilang cukup baik untuk privasi
    Relay OHTTP: karena dikirim melalui pihak ketiga, Apple tidak bisa mengetahui alamat IP. Kontennya dienkripsi sehingga pihak ketiga pun tidak mempelajari apa pun. Ada risiko bahwa informasi sebatas “IP X adalah pengguna Apple Photos” terekspos, tetapi isi library tidak bisa diketahui
    Enkripsi homomorfik: operasi pencarian dilakukan di server menggunakan data terenkripsi. Apple tidak bisa mendekripsi isi vektor maupun isi respons, dan hanya klien yang bisa mendekripsi hasil pencarian
    Inilah bentuk desain privasi yang baik. Ada beberapa lapis keamanan privasi, dan satu saja dari tiga yang terakhir seharusnya sudah cukup untuk perlindungan privasi
    Terkait argumen bahwa “tingkat toleransi tiap orang terhadap risiko pelanggaran privasi harus ditentukan oleh masing-masing pengguna”, penulis, meski tampak seperti peneliti keamanan Apple, pada dasarnya mengatakan bahwa ia tidak bisa membuat pilihan yang berbasis informasi di sini
    Saya tidak yakin mana penilaian yang benar. Namun kesimpulan “karena itu satu-satunya cara menjamin privasi komputasi adalah tidak mengirim data ke luar perangkat” tidak benar. Ada alat yang menyediakan privasi sambil tetap menggunakan layanan, misalnya privasi diferensial dan enkripsi homomorfik. Ini sangat kompleks dan pengguna secara realistis tidak bisa menilai risikonya, tetapi jika Anda menginginkan fitur yang membutuhkan dataset lebih besar dari disk atau konten yang sering berubah, alat seperti ini diperlukan

    • Terima kasih atas penjelasannya, tetapi sepertinya masalah intinya belum tersentuh. Masalahnya adalah data saya dikirim ke luar perangkat secara default, tanpa pemberitahuan yang wajar
      Banyak pengguna mungkin setuju dengan fitur seperti ini. Seperti yang Anda katakan, mungkin saja sangat aman. Tetapi masalahnya adalah semua orang dianggap setuju secara default
    • “Bentuk desain privasi yang baik” adalah foto saya tidak dikirim ke mana pun dalam bentuk apa pun tanpa izin opt-in yang eksplisit
    • Anda menyajikan dikotomi palsu antara “pemahaman pengguna yang sempurna” dan “tidak ada pilihan bagi pengguna”. Isunya bukan apakah pengguna bisa sepenuhnya memahami enkripsi homomorfik atau privasi diferensial, melainkan persetujuan dan transparansi dasar
      Pengguna tidak perlu gelar doktor untuk memahami “fitur ini mengirim data tentang foto Anda ke server Apple demi pencarian yang lebih baik”
      Kompleksitas perlindungan privasi tidak membenarkan penghapusan pilihan pengguna. Dengan logika itu, fitur teknis apa pun tidak perlu ditanyakan kepada pengguna
      Banyak pengguna yang sadar privasi mengikuti prinsip sederhana: mereka ingin mengontrol apa yang keluar dari perangkat, apa pun metode perlindungannya
      Argumen “terlalu kompleks untuk dijelaskan” bisa membenarkan default pelanggaran privasi apa pun. Apakah Anda akan menerapkan standar yang sama pada logika bahwa layanan lokasi boleh dinyalakan secara default karena penjelasan teknologi GPS terlalu kompleks?
      Solusi sebenarnya sederhana. Jelaskan fitur dengan bahasa yang mudah, tekankan manfaatnya, uraikan langkah-langkah perlindungan privasi, lalu biarkan pengguna memilih. Apple sudah melakukan ini pada banyak fitur lain. Default mati dan opt-in adalah prinsip inti desain yang menghormati privasi, sekuat apa pun perlindungan di lapisan bawahnya
    • Desain privasi yang baik sebenarnya adalah tidak mengirim informasi apa pun kepada siapa pun, ke mana pun, kapan pun
    • Penulis bukan peneliti keamanan Apple
      Jeff Johnson mengembangkan aplikasi untuk platform Apple, terutama ekstensi Safari, dan sering menulis blog tentang ketidaknyamanannya terhadap Apple, tetapi ia bukan peneliti keamanan