1 poin oleh GN⁺ 2023-07-09 | 1 komentar | Bagikan ke WhatsApp
  • Saat aplikasi meminta izin, OS tidak boleh hanya mengizinkan jawaban ya/tidak, tetapi harus menambahkan "opsi untuk menyediakan data palsu" ke semua kategori izin
  • Jika meminta kontak, berikan kontak palsu yang dihasilkan; jika meminta akses mikrofon, berikan suara latar acak; jika meminta informasi lokasi, berikan koordinat pulau kecil berukuran 5×5m
  • Jika akses diblokir, aplikasi bisa menolak dengan mengatakan "kalau begitu tidak bisa dipakai", tetapi jika diberi data palsu, hanya layanan yang meminta data tak perlu yang akan terkena dampaknya
  • Boikot menuntut pengorbanan pribadi yang besar dari pengguna tetapi hanya memberi dampak kecil bagi perusahaan, sehingga kepatuhan berniat jahat (malicious compliance) dianggap lebih efektif daripada boikot
  • Ini berlanjut ke persoalan hak kontrol pengguna bahwa pengguna harus dapat mengendalikan aplikasi dan perangkat lunak sistem sebagai administrator atas perangkat yang mereka miliki

Usulan inti — opsi data palsu per izin

  • OS harus menyediakan pilihan "ya, tetapi berikan data palsu" untuk semua kategori selain ya/tidak terhadap permintaan izin
    • Permintaan kontak → berikan kontak palsu yang dibuat secara acak
    • Permintaan mikrofon → berikan suara latar acak (random ambiance)
    • Permintaan lokasi → jawab bahwa pengguna berada di pulau kecil berukuran 5×5m
  • Jika layanan meminta data yang sebenarnya tidak diperlukan, basis datanya diisi informasi tak berguna sehingga memberi efek hukuman
  • Berbeda dari pemblokiran akses, data palsu membuat aplikasi tidak bisa merespons dengan "tidak bisa digunakan" sambil tetap melumpuhkan pengumpulan data yang tidak perlu

Klaim keunggulan dibanding boikot

  • Memboikot aplikasi yang dibutuhkan adalah transaksi yang merugikan karena menuntut pengorbanan pribadi yang besar sementara hanya memberi dampak yang nyaris tak terlihat bagi miliarder
    • Struktur ini menguntungkan pihak yang diserang karena pihak yang melawan kehilangan paling banyak, sehingga merugikan pengguna
  • Pendekatan menyuntikkan data palsu dianggap memberi lebih banyak kekuatan kepada pengguna
  • Dipakai ungkapan bahwa "kepatuhan berniat jahat (malicious compliance)" lebih menyenangkan daripada boikot

Sarana yang sudah ada dan disebut dalam diskusi

  • Pemalsuan lokasi (location spoofing)

    • Dulu pemalsuan lokasi hanya dimungkinkan lewat pengaturan global dan sulit dipilih per aplikasi
    • Di pengaturan pengembang Android, aplikasi tertentu bisa ditetapkan sebagai aplikasi mock location dan berlaku secara global
    • Firefox memiliki ekstensi untuk memalsukan berbagai data seperti geolokasi, tetapi akan lebih berguna jika berjalan di ponsel
    • Ada kasus penyalahgunaan di Pokémon GO dengan data lokasi palsu, yang menunjukkan bahwa ini mungkin secara teknis
  • XPrivacyLua

    • Di perangkat yang di-root, ini dulu melakukan persis seperti yang diinginkan pengguna, tetapi memerlukan Magisk (modifikasi sistem)
    • Saat ini statusnya tidak lagi dipelihara dan tidak kompatibel dengan semua perangkat
  • Fitur izin bawaan Android

    • Android sudah memungkinkan pengaturan akses informasi per aplikasi atau meminta izin setiap kali
    • Namun ini hanya metode pemblokiran, berbeda dengan menyediakan data palsu

Ide perluasan dan contoh

  • Pencemaran data dengan memanfaatkan AI

    • Ada usulan untuk melumpuhkan penambang data dengan memasok informasi tak bermakna secara rekursif
    • Ada juga ide untuk mencemari bahkan konten untuk pelatihan AI dengan data yang dihasilkan AI
  • Respons terhadap pelacakan iklan

    • Disebut AdNauseam (fork dari uBlock Origin), yang memblokir iklan sambil mengklik semua iklan untuk melumpuhkan data penargetan
    • Upaya semacam ini di masa lalu dinilai membutuhkan sumber daya yang besar
  • Mengacaukan profil pelacakan browser

    • Ada layanan yang dengan cepat mengunjungi banyak situs menggunakan browser dan cookie untuk mengacaukan fingerprinting dan pelacakan
    • Dapat memilih pola acak atau berbasis profil, misalnya "menjelajah seperti hippie Ekuador berusia 70 tahun"
    • Disebut contoh TrackThis buatan Mozilla

Batasan dan kekhawatiran yang diajukan

  • Jika memasukkan tanggal lahir acak, pengguna mungkin akan menerima ucapan selamat ulang tahun pada tanggal sembarang, tetapi muncul masalah pada pertanyaan keamanan karena tidak tahu tanggal mana yang dipakai
    • Ada pendapat pelengkap bahwa OS harus bisa memberi tahu pengguna nilai data palsu miliknya sendiri
  • Sekitar 10 tahun lalu ini pernah ditinjau sebagai ide startup, tetapi tidak ditemukan ahli hukum yang bisa membuatnya tahan pembelaan
  • Diperkirakan Google hampir pasti tidak akan menerapkannya karena pengembang komersial akan sangat takut terhadapnya
  • Ditunjukkan bahwa penyebab mendasarnya adalah Google dan Apple sama-sama tidak ingin pengguna memiliki kontrol

1 komentar

 
GN⁺ 2023-07-09
Komentar Hacker News
  • Saya setuju dengan gagasan “data palsu”, tetapi aplikasi juga harus diwajibkan untuk menanganinya dengan elegan meskipun pengguna menolak izin akses ke data asli
    Dulu saat mengembangkan untuk iOS, kebijakan Apple menyatakan bahwa aplikasi tidak boleh menghukum pengguna atau menutup aplikasi dengan exit() hanya karena izin ditolak, dan aplikasi harus tetap berjalan
    Lebih lama lagi, aplikasi bahkan tidak boleh mewajibkan “akun” untuk dijalankan. Saya ingat lebih dari 10 tahun lalu perusahaan saya menerapkan kewajiban akun lalu ditolak App Store dengan alasan yang sah. Melihat makin banyaknya aplikasi yang kini mewajibkan akun, tampaknya sikap ini sudah dilonggarkan

    • Pernyataan “aplikasi tidak boleh meminta akun agar bisa berjalan” terasa kehilangan syarat penting atau saya tidak paham maksudnya
      Bagaimana aplikasi perbankan, game online, aplikasi Twitter zaman sekarang, atau aplikasi seperti Dropbox/Nextcloud bisa berfungsi tanpa akun
      Memang benar di banyak aplikasi kewajiban akun hanyalah trik pemasaran, tetapi sepertinya aturan umum seperti itu tidak mungkin diterapkan
    • WhatsApp masih “menghukum” pengguna jika akses kontak ditolak. Semua nama disembunyikan dan hanya nomor telepon yang ditampilkan, bahkan jika pihak lain sudah mengatur nama di profil mereka sendiri
      Facebook/Meta memang sampah
    • Data pribadi palsu seperti kontak atau foto masih oke, tetapi begitu masuk ke lokasi, situasinya jadi abu-abu
      Jika tujuannya untuk menampilkan posisi saya di peta atau mencari bisnis terdekat, memberi data palsu tidak masalah
      Tetapi jika itu aplikasi uji kecepatan internet yang memetakan kecepatan per operator, atau aplikasi tempat pengguna melaporkan cuaca lokal untuk memperbaiki prakiraan, menurut saya aplikasi boleh mengatakan “beri lokasi yang akurat atau jangan beri sama sekali, kami tidak mau lokasi palsu”
      Platform harus menentukan apakah akan memberi pengecualian kepada aplikasi yang menerima data kontribusi pengguna yang berdampak pada orang lain
      Apple tampaknya membuat titik tengah yang cukup bagus di sini. Anda tidak harus mengizinkan aplikasi mendapat “lokasi akurat”, dan untuk foto juga aplikasi hanya bisa melihat foto yang dipilih pengguna lewat pemilih gambar bawaan sistem
    • Di iOS, yang paling parah adalah Google Photos. Jika Anda tidak mengizinkan akses ke semua foto, aplikasinya bahkan tidak bisa dibuka, dan opsi hanya mengizinkan foto terpilih pun tidak diterima
      Hal yang sama berlaku bahkan jika Anda hanya ingin melihat foto yang sudah tersimpan di cloud
    • Sekalipun dikatakan “aplikasi harus menangani penolakan akses data asli secara elegan”, bagaimana cara menegakkannya jika mereka tidak patuh
      Itu seperti mengusulkan solusi organisasional untuk masalah teknis, sehingga sulit berhasil, dan satu-satunya solusi praktis adalah data palsu. Dari sudut pandang aplikasi, izin harus tampak seolah-olah diberikan meski sebenarnya tidak
  • Di Android yang sudah di-root, XPrivacy sudah bisa melakukan ini sejak 7 tahun lalu, dan ada juga alternatif modern. Tetapi saya sudah lama tidak me-root ponsel, jadi saya tidak bisa menjaminnya: https://github.com/M66B/XPrivacy
    Tentu ini bukan pendekatan arus utama, dan saya setuju fitur seperti ini seharusnya bawaan. Namun baik Android maupun iOS sama-sama mengizinkan omong kosong seperti aplikasi pembatasan wilayah atau pemblokiran tangkapan layar untuk konten DRM, jadi sepertinya tidak mudah

    • Dengan menuliskannya seperti ini, saya jadi benar-benar merasakan betapa sistemnya dirancang merugikan pengguna, dan membuat saya berhenti percaya bahwa ponsel adalah komputer
      Ponsel adalah perangkat pengantar konten milik vendor, dan pengguna sepenuhnya berada di bawah kehendak mereka
    • XPrivacy benar-benar keren, tetapi di ponsel modern proses root dan memasang Xposed menjadi jauh lebih rumit atau bahkan diblokir
      GrapheneOS kurang cocok dengan aplikasi perbankan, Google berkali-kali merusak root melalui Magisk di Android Beta, dan pada akhirnya saya berhenti peduli
      Mungkin proyek seperti GrapheneOS atau yang sejenis bisa menyediakan fungsi seperti ini
    • XPrivacy memang hebat, tetapi aplikasi sering crash jika sebagian izin ditolak. Pada akhirnya itu berarti data palsu yang diberikannya belum cukup bagus
      Sampai separah itu, saya tidak pernah langsung menekan “tolak”, melainkan selalu “tolak sementara” dulu. Jika aplikasi tetap berjalan, baru saya tolak permanen; kalau crash, saya harus mencari himpunan izin minimum yang perlu diizinkan
    • Fitur ini mungkin tidak akan pernah masuk ke image pabrik atau cabang utama Android, tetapi jika permintaan pengguna cukup besar, mungkin bisa masuk ke proyek seperti LineageOS
    • Yang dimaksud “aplikasi pembatasan wilayah” sebenarnya bukan begitu, melainkan bahwa tiap app store memungkinkan aplikasi didistribusikan hanya ke wilayah yang dipilih
      Ini fungsi penting di app store karena sebuah aplikasi belum tentu memberi pengalaman yang baik di semua negara, belum tentu dilokalkan ke semua bahasa, mungkin tidak memiliki moderator konten untuk bahasa tertentu, mungkin harus mematuhi hukum tiap negara, atau lisensi distribusi untuk konten berhak cipta bisa dibatasi ke negara tertentu
      Pencegahan tangkapan layar pada konten DRM adalah fitur yang diminta pengembang aplikasi karena tuntutan hukum dari lisensi konten seperti film. Studio film tidak ingin orang melakukan streaming atau merekam film, sehingga platform aplikasi perlu menyediakan cara untuk menampilkan konten itu dengan aman
  • “Jika seseorang menanyakan pertanyaan yang tidak berhak ia tanyakan, Anda tidak berkewajiban mengatakan yang sebenarnya”
    — Leonard Schiffman
    Sumber: “Blend me in: Privacy-Preserving Input Generalization for Personalized Online Services” https://drive.google.com/file/d/10OmoqMmHFcb7PsQtaU_GW4aCAJe...

  • Ada masalah dengan gagasan bahwa saat aplikasi meminta izin, sistem operasi seharusnya menawarkan bukan hanya ya/tidak tetapi juga “ya, tetapi beri aplikasi data palsu
    Banyak pengguna bahkan tidak tahu cara meneruskan email
    Bayangkan kekacauan yang bisa terjadi jika orang-orang seperti itu memilih data palsu saat memakai navigasi Google Maps tanpa memahami artinya
    Google Maps: “Belok kanan”
    Pengemudi yang melaju di jalan tepi laut: “Oke”
    Mobil: byur

    • Itu sepenuhnya masalah pengalaman pengguna
      Cukup sembunyikan fitur pemalsuan data jauh di dalam pengaturan, jelaskan dengan bahasa yang mudah sebelum diaktifkan, dan beri tahu dengan jelas di layar bahwa aplikasi sedang diberi informasi pengganti karena fitur privasi yang diaktifkan sendiri oleh pengguna dan bisa dimatikan dengan mudah
      Tetap akan ada orang yang menyalakannya tanpa sengaja, tetapi ini bisa memberi nilai besar bagi banyak pengguna lain
    • Ini terlihat seperti kesempatan untuk belajar. Atau mungkin kesempatan yang bersifat Darwinistik
      Apa pun itu, masalahnya akan terselesaikan sendiri
    • Kalau begitu, jadikan saja pengaturan itu sebagai fitur pilihan untuk pengguna mahir. Pengguna yang tidak terbiasa tidak perlu melihat opsinya sama sekali
    • Dalam kasus seperti itu, berarti pengemudinya tidak melihat arah pergerakan dengan benar, dan itu masalah yang berbeda
      Sistem operasi tampaknya lebih baik menyediakan “ya”, “tidak”, dan “kustom”. Jika memilih “kustom”, peringatan bisa ditampilkan di dalam menu itu bila perlu, tetapi pengguna tidak boleh dicegah untuk menyesuaikannya sesuai keinginan
    • Saya penasaran apakah banyak orang memakai Google Maps di iOS. Opsi “beri data palsu” terasa seperti sesuatu yang mungkin dilakukan Apple, tetapi sangat sulit dipercaya Google akan melakukannya
      Apple Maps tidak akan punya masalah ini. Peta bisa diunduh ke perangkat sehingga dapat bekerja offline tanpa koneksi data
  • Agak mengejutkan mengapa komentar teratas tidak menyinggung bahwa di iOS tidak bisa dibedakan apakah izin diberikan atau tidak
    Misalnya, jika aplikasi meminta akses ke foto, aplikasi selalu menerima sebuah array. Hanya saja, jika izin ditolak array itu kosong, sehingga tidak bisa diketahui apakah pustaka pengguna memang benar-benar kosong atau aksesnya ditolak. Ini sederhana dan elegan
    Tentu saja untuk foto, hampir semua orang punya setidaknya beberapa foto sehingga heuristik bisa dipakai. Tetapi pada jenis lain seperti data kesehatan, hal itu tidak sejelas itu

  • Saya menganggap “memberi data palsu” adalah pendekatan yang salah. Pendekatan yang lebih baik adalah menyediakan data dari sumber alternatif, dan sumber alternatif itu seharusnya bisa berupa program lain apa pun
    Sumber alternatif itu bisa berupa data kosong, data acak, data palsu tetapi konsisten, data dari file alternatif (misalnya daftar kontak terpisah atau foto dari file alih-alih kamera), data yang ditransformasikan (misalnya membalik foto kamera), penyaringan, pencatatan, menanyakan ke pengguna untuk setiap item data, memberikan kode error alih-alih data dan membiarkan pengguna menentukan kode error tersebut, dan apa pun lagi yang diinginkan pengguna. Ini bahkan harus mencakup akses ke tanggal/waktu saat ini
    Ini meningkatkan kendali pengguna dan juga berguna untuk pengujian serta aksesibilitas
    Salah satu ide saya tentang desain sistem operasi adalah izin proksi. Sertakan izin proksi dalam keamanan berbasis izin, gunakan itu untuk semua input/output, dan itu juga bisa dipakai dari shell perintah dengan cara yang lebih baik daripada pipe UNIX, maupun dengan cara lain. Tanggal/waktu juga termasuk. Selain Yield dan Quit, tidak ada system call yang bisa digunakan tanpa kunci izin

    • Ini pendekatan terbaik, dan menurut saya satu-satunya pendekatan yang benar-benar bisa bekerja
      Sangat sulit bagi pengembang aplikasi untuk menangani dengan baik izin yang tidak bisa mereka gunakan, dan cakupan pengujian jadi jauh lebih besar dan sulit demi jumlah pengguna yang relatif sedikit, sehingga sebagian besar aplikasi komersial kecil kemungkinan tidak akan berusaha menanganinya dengan benar
      Mengizinkan izin tetapi memberi sumber data alternatif adalah cara yang paling mudah bagi pengembang maupun pengguna
      Tentu saja ini juga bisa mempermudah penipuan. Misalnya, bank kemungkinan akan memakai proses pendaftaran perangkat yang lebih rumit
  • Tidak perlu saling mempersulit. Aturan sederhananya adalah “tidak juga merupakan pilihan, kecuali jika memang benar-benar bukan pilihan”
    Jika itu bukan pilihan, alasannya harus sangat jelas, dan kemungkinan harus diungkapkan dalam proses peninjauan aplikasi; jika tidak, aplikasinya harus ditolak
    Misalnya, jika TikTok/Instagram meminta izin kamera dan mikrofon, keduanya tidak wajib untuk memakai aplikasi, jadi tidak tetap merupakan pilihan. Jika sebagian aplikasi masih bisa digunakan tanpa izin tertentu, tanggung jawab ada pada aplikasi untuk dirancang agar tetap bekerja seperti itu. Jika kamera atau mikrofon dimatikan, cukup nonaktifkan secara kondisional hanya fitur yang memerlukan izin tersebut
    Sederhananya, bebannya ada pada pihak yang meminta. Jika tidak jelas atau mencoba mengakali, jawabannya adalah tidak. Ini mungkin terdengar ketat, tetapi pembuat aplikasi bisa sepenuhnya menghindari langkah tambahan ini dengan menjadikan izin sebagai sesuatu yang opsional
    Jika fokusnya pada penegakan ini, tidak perlu ada perlombaan senjata kecil-kecilan, dan ini juga pilihan yang lebih baik bagi pengguna

    • Kelihatannya bagus, tetapi bagaimana cara menegakkannya
      Satu-satunya pihak yang bisa menegakkan ini adalah app store Google/Apple/Microsoft. Sulit yakin bahwa mereka punya insentif yang cukup untuk menerapkannya secara konsisten dan ramah pengguna. Kalau memang punya, seharusnya dari dulu sudah dilakukan
  • Ponsel Samsung memiliki toggle akses kamera dan akses mikrofon
    Jika dimatikan, pesan seperti ini akan muncul:

    Turn off Camera access?  
    All apps will be blocked from using the camera. Apps  
    will still work, but they will only be able to access an  
    empty black screen. For example, you can still make  
    and receive video calls, but the other person won't be  
    able to see you.  
    
    • Untuk akses mikrofon:
      Turn off Microphone access?  
      All apps will be blocked from using the microphone  
      Apps will still work, but they won't be able to access  
      any sounds from the microphone. For example, you  
      can still make and receive calls, but the other person  
      won't be able to hear you.  
      
  • Daripada “opsi ‘ya, tetapi berikan data palsu ke aplikasi’ untuk semua kategori”, pengaturan per aplikasi lebih baik
    Anda mungkin tidak ingin memberikan data lokasi ke hampir semua aplikasi, tetapi ingin memberikannya ke Google Maps dan aplikasi panggilan darurat. Hal yang sama berlaku untuk kontak dan data pribadi
    Namun, aplikasi seperti itu kemungkinan akan menghadapi perlawanan keras dari Google dan perusahaan lain yang mendapat keuntungan dari pembuatan profil pengguna

    • Setuju, tetapi harus per aplikasi sekaligus per kategori izin
      Misalnya, pada satu aplikasi Anda harus bisa memberi data nyata untuk satu izin, data palsu atau data khusus/input manual untuk izin lain, dan menolak izin ketiga
      Anda juga mungkin ingin sementara mengubah pengaturan untuk tujuan pengujian, atau untuk kasus seperti aplikasi cuaca yang menampilkan cuaca di lokasi saat ini, ketika Anda ingin melihat cuaca di lokasi lain sebentar lalu kembali ke lokasi asli
  • Jika aplikasi membutuhkan data saya untuk meningkatkan pengalaman saya, dan itu pun hanya pengalaman saya sendiri, maka jika diberi data palsu yang memburuk seharusnya hanya pengalaman saya sendiri. Seharusnya itu tidak berpengaruh bagi pengembang atau pemilik aplikasi
    Tetapi jika tujuannya, seperti dalam kebanyakan kasus, adalah menambang data saya, maka data palsu akan sangat efektif untuk mengganggunya
    Tentu saja, dalam kasus seperti WhatsApp, ini tidak banyak membantu. Karena orang-orang rela menyinkronkan seluruh daftar kontak mereka dengan Facebook/Meta demi pengalaman berkirim pesan yang sedikit lebih baik

    • Saya juga harus melakukannya dan itu sangat tidak menyenangkan, tetapi itu bukan sekadar “pengalaman yang sedikit lebih baik”
      Setidaknya di ponsel, aplikasi dan layanannya nyaris hanya layak dipakai sampai Anda menyinkronkan kontak