- Saat aplikasi meminta izin, OS tidak boleh hanya mengizinkan jawaban ya/tidak, tetapi harus menambahkan "opsi untuk menyediakan data palsu" ke semua kategori izin
- Jika meminta kontak, berikan kontak palsu yang dihasilkan; jika meminta akses mikrofon, berikan suara latar acak; jika meminta informasi lokasi, berikan koordinat pulau kecil berukuran 5×5m
- Jika akses diblokir, aplikasi bisa menolak dengan mengatakan "kalau begitu tidak bisa dipakai", tetapi jika diberi data palsu, hanya layanan yang meminta data tak perlu yang akan terkena dampaknya
- Boikot menuntut pengorbanan pribadi yang besar dari pengguna tetapi hanya memberi dampak kecil bagi perusahaan, sehingga kepatuhan berniat jahat (malicious compliance) dianggap lebih efektif daripada boikot
- Ini berlanjut ke persoalan hak kontrol pengguna bahwa pengguna harus dapat mengendalikan aplikasi dan perangkat lunak sistem sebagai administrator atas perangkat yang mereka miliki
Usulan inti — opsi data palsu per izin
- OS harus menyediakan pilihan "ya, tetapi berikan data palsu" untuk semua kategori selain ya/tidak terhadap permintaan izin
- Permintaan kontak → berikan kontak palsu yang dibuat secara acak
- Permintaan mikrofon → berikan suara latar acak (random ambiance)
- Permintaan lokasi → jawab bahwa pengguna berada di pulau kecil berukuran 5×5m
- Jika layanan meminta data yang sebenarnya tidak diperlukan, basis datanya diisi informasi tak berguna sehingga memberi efek hukuman
- Berbeda dari pemblokiran akses, data palsu membuat aplikasi tidak bisa merespons dengan "tidak bisa digunakan" sambil tetap melumpuhkan pengumpulan data yang tidak perlu
Klaim keunggulan dibanding boikot
- Memboikot aplikasi yang dibutuhkan adalah transaksi yang merugikan karena menuntut pengorbanan pribadi yang besar sementara hanya memberi dampak yang nyaris tak terlihat bagi miliarder
- Struktur ini menguntungkan pihak yang diserang karena pihak yang melawan kehilangan paling banyak, sehingga merugikan pengguna
- Pendekatan menyuntikkan data palsu dianggap memberi lebih banyak kekuatan kepada pengguna
- Dipakai ungkapan bahwa "kepatuhan berniat jahat (malicious compliance)" lebih menyenangkan daripada boikot
Sarana yang sudah ada dan disebut dalam diskusi
-
Pemalsuan lokasi (location spoofing)
- Dulu pemalsuan lokasi hanya dimungkinkan lewat pengaturan global dan sulit dipilih per aplikasi
- Di pengaturan pengembang Android, aplikasi tertentu bisa ditetapkan sebagai aplikasi mock location dan berlaku secara global
- Firefox memiliki ekstensi untuk memalsukan berbagai data seperti geolokasi, tetapi akan lebih berguna jika berjalan di ponsel
- Ada kasus penyalahgunaan di Pokémon GO dengan data lokasi palsu, yang menunjukkan bahwa ini mungkin secara teknis
-
XPrivacyLua
- Di perangkat yang di-root, ini dulu melakukan persis seperti yang diinginkan pengguna, tetapi memerlukan Magisk (modifikasi sistem)
- Saat ini statusnya tidak lagi dipelihara dan tidak kompatibel dengan semua perangkat
-
Fitur izin bawaan Android
- Android sudah memungkinkan pengaturan akses informasi per aplikasi atau meminta izin setiap kali
- Namun ini hanya metode pemblokiran, berbeda dengan menyediakan data palsu
Ide perluasan dan contoh
-
Pencemaran data dengan memanfaatkan AI
- Ada usulan untuk melumpuhkan penambang data dengan memasok informasi tak bermakna secara rekursif
- Ada juga ide untuk mencemari bahkan konten untuk pelatihan AI dengan data yang dihasilkan AI
-
Respons terhadap pelacakan iklan
- Disebut AdNauseam (fork dari uBlock Origin), yang memblokir iklan sambil mengklik semua iklan untuk melumpuhkan data penargetan
- Upaya semacam ini di masa lalu dinilai membutuhkan sumber daya yang besar
-
Mengacaukan profil pelacakan browser
- Ada layanan yang dengan cepat mengunjungi banyak situs menggunakan browser dan cookie untuk mengacaukan fingerprinting dan pelacakan
- Dapat memilih pola acak atau berbasis profil, misalnya "menjelajah seperti hippie Ekuador berusia 70 tahun"
- Disebut contoh TrackThis buatan Mozilla
Batasan dan kekhawatiran yang diajukan
- Jika memasukkan tanggal lahir acak, pengguna mungkin akan menerima ucapan selamat ulang tahun pada tanggal sembarang, tetapi muncul masalah pada pertanyaan keamanan karena tidak tahu tanggal mana yang dipakai
- Ada pendapat pelengkap bahwa OS harus bisa memberi tahu pengguna nilai data palsu miliknya sendiri
- Sekitar 10 tahun lalu ini pernah ditinjau sebagai ide startup, tetapi tidak ditemukan ahli hukum yang bisa membuatnya tahan pembelaan
- Diperkirakan Google hampir pasti tidak akan menerapkannya karena pengembang komersial akan sangat takut terhadapnya
- Ditunjukkan bahwa penyebab mendasarnya adalah Google dan Apple sama-sama tidak ingin pengguna memiliki kontrol
1 komentar
Komentar Hacker News
Saya setuju dengan gagasan “data palsu”, tetapi aplikasi juga harus diwajibkan untuk menanganinya dengan elegan meskipun pengguna menolak izin akses ke data asli
Dulu saat mengembangkan untuk iOS, kebijakan Apple menyatakan bahwa aplikasi tidak boleh menghukum pengguna atau menutup aplikasi dengan
exit()hanya karena izin ditolak, dan aplikasi harus tetap berjalanLebih lama lagi, aplikasi bahkan tidak boleh mewajibkan “akun” untuk dijalankan. Saya ingat lebih dari 10 tahun lalu perusahaan saya menerapkan kewajiban akun lalu ditolak App Store dengan alasan yang sah. Melihat makin banyaknya aplikasi yang kini mewajibkan akun, tampaknya sikap ini sudah dilonggarkan
Bagaimana aplikasi perbankan, game online, aplikasi Twitter zaman sekarang, atau aplikasi seperti Dropbox/Nextcloud bisa berfungsi tanpa akun
Memang benar di banyak aplikasi kewajiban akun hanyalah trik pemasaran, tetapi sepertinya aturan umum seperti itu tidak mungkin diterapkan
Facebook/Meta memang sampah
Jika tujuannya untuk menampilkan posisi saya di peta atau mencari bisnis terdekat, memberi data palsu tidak masalah
Tetapi jika itu aplikasi uji kecepatan internet yang memetakan kecepatan per operator, atau aplikasi tempat pengguna melaporkan cuaca lokal untuk memperbaiki prakiraan, menurut saya aplikasi boleh mengatakan “beri lokasi yang akurat atau jangan beri sama sekali, kami tidak mau lokasi palsu”
Platform harus menentukan apakah akan memberi pengecualian kepada aplikasi yang menerima data kontribusi pengguna yang berdampak pada orang lain
Apple tampaknya membuat titik tengah yang cukup bagus di sini. Anda tidak harus mengizinkan aplikasi mendapat “lokasi akurat”, dan untuk foto juga aplikasi hanya bisa melihat foto yang dipilih pengguna lewat pemilih gambar bawaan sistem
Hal yang sama berlaku bahkan jika Anda hanya ingin melihat foto yang sudah tersimpan di cloud
Itu seperti mengusulkan solusi organisasional untuk masalah teknis, sehingga sulit berhasil, dan satu-satunya solusi praktis adalah data palsu. Dari sudut pandang aplikasi, izin harus tampak seolah-olah diberikan meski sebenarnya tidak
Di Android yang sudah di-root, XPrivacy sudah bisa melakukan ini sejak 7 tahun lalu, dan ada juga alternatif modern. Tetapi saya sudah lama tidak me-root ponsel, jadi saya tidak bisa menjaminnya: https://github.com/M66B/XPrivacy
Tentu ini bukan pendekatan arus utama, dan saya setuju fitur seperti ini seharusnya bawaan. Namun baik Android maupun iOS sama-sama mengizinkan omong kosong seperti aplikasi pembatasan wilayah atau pemblokiran tangkapan layar untuk konten DRM, jadi sepertinya tidak mudah
Ponsel adalah perangkat pengantar konten milik vendor, dan pengguna sepenuhnya berada di bawah kehendak mereka
GrapheneOS kurang cocok dengan aplikasi perbankan, Google berkali-kali merusak root melalui Magisk di Android Beta, dan pada akhirnya saya berhenti peduli
Mungkin proyek seperti GrapheneOS atau yang sejenis bisa menyediakan fungsi seperti ini
Sampai separah itu, saya tidak pernah langsung menekan “tolak”, melainkan selalu “tolak sementara” dulu. Jika aplikasi tetap berjalan, baru saya tolak permanen; kalau crash, saya harus mencari himpunan izin minimum yang perlu diizinkan
Ini fungsi penting di app store karena sebuah aplikasi belum tentu memberi pengalaman yang baik di semua negara, belum tentu dilokalkan ke semua bahasa, mungkin tidak memiliki moderator konten untuk bahasa tertentu, mungkin harus mematuhi hukum tiap negara, atau lisensi distribusi untuk konten berhak cipta bisa dibatasi ke negara tertentu
Pencegahan tangkapan layar pada konten DRM adalah fitur yang diminta pengembang aplikasi karena tuntutan hukum dari lisensi konten seperti film. Studio film tidak ingin orang melakukan streaming atau merekam film, sehingga platform aplikasi perlu menyediakan cara untuk menampilkan konten itu dengan aman
“Jika seseorang menanyakan pertanyaan yang tidak berhak ia tanyakan, Anda tidak berkewajiban mengatakan yang sebenarnya”
— Leonard Schiffman
Sumber: “Blend me in: Privacy-Preserving Input Generalization for Personalized Online Services” https://drive.google.com/file/d/10OmoqMmHFcb7PsQtaU_GW4aCAJe...
Ada masalah dengan gagasan bahwa saat aplikasi meminta izin, sistem operasi seharusnya menawarkan bukan hanya ya/tidak tetapi juga “ya, tetapi beri aplikasi data palsu”
Banyak pengguna bahkan tidak tahu cara meneruskan email
Bayangkan kekacauan yang bisa terjadi jika orang-orang seperti itu memilih data palsu saat memakai navigasi Google Maps tanpa memahami artinya
Google Maps: “Belok kanan”
Pengemudi yang melaju di jalan tepi laut: “Oke”
Mobil: byur
Cukup sembunyikan fitur pemalsuan data jauh di dalam pengaturan, jelaskan dengan bahasa yang mudah sebelum diaktifkan, dan beri tahu dengan jelas di layar bahwa aplikasi sedang diberi informasi pengganti karena fitur privasi yang diaktifkan sendiri oleh pengguna dan bisa dimatikan dengan mudah
Tetap akan ada orang yang menyalakannya tanpa sengaja, tetapi ini bisa memberi nilai besar bagi banyak pengguna lain
Apa pun itu, masalahnya akan terselesaikan sendiri
Sistem operasi tampaknya lebih baik menyediakan “ya”, “tidak”, dan “kustom”. Jika memilih “kustom”, peringatan bisa ditampilkan di dalam menu itu bila perlu, tetapi pengguna tidak boleh dicegah untuk menyesuaikannya sesuai keinginan
Apple Maps tidak akan punya masalah ini. Peta bisa diunduh ke perangkat sehingga dapat bekerja offline tanpa koneksi data
Agak mengejutkan mengapa komentar teratas tidak menyinggung bahwa di iOS tidak bisa dibedakan apakah izin diberikan atau tidak
Misalnya, jika aplikasi meminta akses ke foto, aplikasi selalu menerima sebuah array. Hanya saja, jika izin ditolak array itu kosong, sehingga tidak bisa diketahui apakah pustaka pengguna memang benar-benar kosong atau aksesnya ditolak. Ini sederhana dan elegan
Tentu saja untuk foto, hampir semua orang punya setidaknya beberapa foto sehingga heuristik bisa dipakai. Tetapi pada jenis lain seperti data kesehatan, hal itu tidak sejelas itu
Notifikasi push punya UNAuthorizationStatus: https://developer.apple.com/documentation/usernotifications/...
Data kesehatan punya HKAuthorizationStatus: https://developer.apple.com/documentation/healthkit/hkauthor...
Kontak punya CNAuthorizationStatus: https://developer.apple.com/documentation/contacts/cnauthori...
Foto punya PHAuthorizationStatus: https://developer.apple.com/documentation/photokit/phauthori...
Foto adalah kasus khusus karena pengguna bisa memilih antara menolak akses, akses terbatas, dan akses penuh. Bisa diketahui apakah akses ditolak, tetapi tidak bisa dibedakan antara akses terbatas dan akses penuh
Dan jika folder foto kosong, hampir pasti artinya tidak ada izin. Sangat jarang ada orang yang belum pernah mengambil foto sama sekali
Misalnya, jika pengguna mengizinkan hak melihat lokasi, objek lokasi yang dikirim ke aplikasi tentu berisi informasi terkait. Jika sistem operasi memberikan objek lokasi kosong, bukankah akan jadi jelas bahwa izin ditolak, atau apakah itu disembunyikan di balik semacam error
Saya menganggap “memberi data palsu” adalah pendekatan yang salah. Pendekatan yang lebih baik adalah menyediakan data dari sumber alternatif, dan sumber alternatif itu seharusnya bisa berupa program lain apa pun
Sumber alternatif itu bisa berupa data kosong, data acak, data palsu tetapi konsisten, data dari file alternatif (misalnya daftar kontak terpisah atau foto dari file alih-alih kamera), data yang ditransformasikan (misalnya membalik foto kamera), penyaringan, pencatatan, menanyakan ke pengguna untuk setiap item data, memberikan kode error alih-alih data dan membiarkan pengguna menentukan kode error tersebut, dan apa pun lagi yang diinginkan pengguna. Ini bahkan harus mencakup akses ke tanggal/waktu saat ini
Ini meningkatkan kendali pengguna dan juga berguna untuk pengujian serta aksesibilitas
Salah satu ide saya tentang desain sistem operasi adalah izin proksi. Sertakan izin proksi dalam keamanan berbasis izin, gunakan itu untuk semua input/output, dan itu juga bisa dipakai dari shell perintah dengan cara yang lebih baik daripada pipe UNIX, maupun dengan cara lain. Tanggal/waktu juga termasuk. Selain Yield dan Quit, tidak ada system call yang bisa digunakan tanpa kunci izin
Sangat sulit bagi pengembang aplikasi untuk menangani dengan baik izin yang tidak bisa mereka gunakan, dan cakupan pengujian jadi jauh lebih besar dan sulit demi jumlah pengguna yang relatif sedikit, sehingga sebagian besar aplikasi komersial kecil kemungkinan tidak akan berusaha menanganinya dengan benar
Mengizinkan izin tetapi memberi sumber data alternatif adalah cara yang paling mudah bagi pengembang maupun pengguna
Tentu saja ini juga bisa mempermudah penipuan. Misalnya, bank kemungkinan akan memakai proses pendaftaran perangkat yang lebih rumit
Tidak perlu saling mempersulit. Aturan sederhananya adalah “tidak juga merupakan pilihan, kecuali jika memang benar-benar bukan pilihan”
Jika itu bukan pilihan, alasannya harus sangat jelas, dan kemungkinan harus diungkapkan dalam proses peninjauan aplikasi; jika tidak, aplikasinya harus ditolak
Misalnya, jika TikTok/Instagram meminta izin kamera dan mikrofon, keduanya tidak wajib untuk memakai aplikasi, jadi tidak tetap merupakan pilihan. Jika sebagian aplikasi masih bisa digunakan tanpa izin tertentu, tanggung jawab ada pada aplikasi untuk dirancang agar tetap bekerja seperti itu. Jika kamera atau mikrofon dimatikan, cukup nonaktifkan secara kondisional hanya fitur yang memerlukan izin tersebut
Sederhananya, bebannya ada pada pihak yang meminta. Jika tidak jelas atau mencoba mengakali, jawabannya adalah tidak. Ini mungkin terdengar ketat, tetapi pembuat aplikasi bisa sepenuhnya menghindari langkah tambahan ini dengan menjadikan izin sebagai sesuatu yang opsional
Jika fokusnya pada penegakan ini, tidak perlu ada perlombaan senjata kecil-kecilan, dan ini juga pilihan yang lebih baik bagi pengguna
Satu-satunya pihak yang bisa menegakkan ini adalah app store Google/Apple/Microsoft. Sulit yakin bahwa mereka punya insentif yang cukup untuk menerapkannya secara konsisten dan ramah pengguna. Kalau memang punya, seharusnya dari dulu sudah dilakukan
Ponsel Samsung memiliki toggle akses kamera dan akses mikrofon
Jika dimatikan, pesan seperti ini akan muncul:
Daripada “opsi ‘ya, tetapi berikan data palsu ke aplikasi’ untuk semua kategori”, pengaturan per aplikasi lebih baik
Anda mungkin tidak ingin memberikan data lokasi ke hampir semua aplikasi, tetapi ingin memberikannya ke Google Maps dan aplikasi panggilan darurat. Hal yang sama berlaku untuk kontak dan data pribadi
Namun, aplikasi seperti itu kemungkinan akan menghadapi perlawanan keras dari Google dan perusahaan lain yang mendapat keuntungan dari pembuatan profil pengguna
Misalnya, pada satu aplikasi Anda harus bisa memberi data nyata untuk satu izin, data palsu atau data khusus/input manual untuk izin lain, dan menolak izin ketiga
Anda juga mungkin ingin sementara mengubah pengaturan untuk tujuan pengujian, atau untuk kasus seperti aplikasi cuaca yang menampilkan cuaca di lokasi saat ini, ketika Anda ingin melihat cuaca di lokasi lain sebentar lalu kembali ke lokasi asli
Jika aplikasi membutuhkan data saya untuk meningkatkan pengalaman saya, dan itu pun hanya pengalaman saya sendiri, maka jika diberi data palsu yang memburuk seharusnya hanya pengalaman saya sendiri. Seharusnya itu tidak berpengaruh bagi pengembang atau pemilik aplikasi
Tetapi jika tujuannya, seperti dalam kebanyakan kasus, adalah menambang data saya, maka data palsu akan sangat efektif untuk mengganggunya
Tentu saja, dalam kasus seperti WhatsApp, ini tidak banyak membantu. Karena orang-orang rela menyinkronkan seluruh daftar kontak mereka dengan Facebook/Meta demi pengalaman berkirim pesan yang sedikit lebih baik
Setidaknya di ponsel, aplikasi dan layanannya nyaris hanya layak dipakai sampai Anda menyinkronkan kontak