2 điểm bởi GN⁺ 2024-12-29 | 1 bình luận | Chia sẻ qua WhatsApp
  • Enhanced Visual Search đã được thêm vào Photos trên iOS 18 và macOS Sequoia, và trên iPhone cùng Mac của tác giả thì nó được bật sẵn theo mặc định
  • Tính năng này hỗ trợ tìm kiếm bằng cách đối chiếu riêng tư địa danh và điểm quan tâm trong ảnh với chỉ mục toàn cầu trên máy chủ Apple
  • Apple giải thích rằng họ dùng mã hóa đồng hình, quyền riêng tư vi sai và chuyển tiếp OHTTP để không thể biết thông tin ảnh, nhưng chính việc giao tiếp với máy chủ mới là trọng tâm của tranh cãi về quyền riêng tư
  • Trọng tâm chỉ trích không phải là ác ý từ Apple mà là khả năng xảy ra lỗi phần mềm, và điều này được viện dẫn bằng việc các lỗ hổng vẫn liên tục xuất hiện trong ghi chú phát hành bảo mật của Apple
  • Trên macOS có thể chặn liên lạc ở một mức độ nào đó bằng Little Snitch, nhưng trên iOS không có lựa chọn tương tự nên người dùng khó tự bảo vệ mình

Kích hoạt mặc định của Enhanced Visual Search

  • Một mục mới có tên Enhanced Visual Search đã được thêm vào phần cài đặt Photos trên iPhone và được bật mặc định
  • Cài đặt tương tự cũng mới xuất hiện trong Photos của macOS Sequoia, và trên Mac cũng được bật sẵn theo mặc định
  • Tác giả đã tự tắt cài đặt đó trước khi chụp ảnh màn hình

Cách hoạt động theo tài liệu của Apple

  • Tài liệu Photos & Privacy của Apple cho biết Enhanced Visual Search cho phép tìm kiếm ảnh theo địa danh hoặc điểm quan tâm
  • Thiết bị sẽ đối chiếu riêng tư các địa điểm trong ảnh với chỉ mục toàn cầu trên máy chủ Apple
  • Apple cho biết họ sử dụng các công nghệ sau để bảo vệ quyền riêng tư
    • Mã hóa đồng hình

    • Quyền riêng tư vi sai

      • Chuyển tiếp OHTTP để ẩn địa chỉ IP
      • Theo tài liệu của Apple, có thể tắt tính năng này tại Settings > Apps > Photos trên iOS·iPadOS và Photos > Settings > General trên Mac
      • Bài nghiên cứu của Apple Machine Learning Research Combining Machine Learning and Homomorphic Encryption in the Apple Ecosystem được công bố vào ngày 24 tháng 10 năm 2024, còn ngày phát hành chính thức của iOS 18 và macOS 15 là 16 tháng 9 năm 2024

Chỉ trích về quyền riêng tư

  • Điểm xuất phát của chỉ trích là việc Apple đã tăng cường trải nghiệm trên thiết bị bằng giao tiếp với máy chủ dù người dùng không hề yêu cầu
  • Theo tiêu chuẩn của tác giả, chỉ khi mọi tính toán đều kết thúc trên thiết bị thì mới là riêng tư; nếu dữ liệu đi tới máy chủ của nhà sản xuất thì khó có thể xem là hoàn toàn riêng tư
  • Tác giả cũng nói rằng bản thân mình không thể trực tiếp đánh giá việc triển khai của Apple có an toàn về mặt kỹ thuật hay không
  • Tuy vậy, vì các lỗ hổng vẫn liên tục được thêm vào ghi chú phát hành bảo mật của Apple, nên tác giả cho rằng khó có thể tin nguyên trạng các tuyên bố về quyền riêng tư của Apple
  • Ngay cả khi không có ác ý hay âm mưu, chỉ riêng lỗi phần mềm cũng có thể khiến người dùng trở nên dễ bị tổn thương, và Apple không thể đảm bảo phần mềm hoàn toàn không có lỗi

Quyền lựa chọn của người dùng và công cụ chặn

  • Tác giả không quan tâm đến Enhanced Visual Search, nên ngay cả khi tính năng hoạt động hoàn hảo thì cũng không thấy có lợi ích nào đủ để chấp nhận rủi ro
  • Cách bật sẵn tính năng mà không có sự cho phép của người dùng bị chỉ trích là không tôn trọng người dùng và các lựa chọn của họ
  • Tác giả cho rằng khẩu hiệu quảng cáo của Apple “What happens on your iPhone, stays on your iPhone.” không phù hợp với trường hợp này
  • Trên macOS, có thể phần lớn chặn liên lạc từ xa của phần mềm Apple bằng Little Snitch
  • Trên iOS, các công cụ như Little Snitch không được cho phép, nên tác giả cảm thấy Apple đang ngăn người dùng tự bảo vệ mình

Tài liệu tiếp theo

1 bình luận

 
GN⁺ 2024-12-29
Ý kiến trên Hacker News
  • Điều tôi muốn rất đơn giản: tôi muốn phần mềm không gửi bất cứ thứ gì lên Internet trước khi có ý định rõ ràng từ người dùng
    Công sức kỹ thuật để làm cho tính năng này có vẻ riêng tư là rất đáng khen, và bản thân việc triển khai một tính năng như vậy cũng không phải vấn đề, nhưng nhất thiết phải là opt-in
    Chừng nào phần mềm còn đối xử với người dùng cuối cùng cùng dữ liệu của họ, kết nối mạng và các tài nguyên tương tự như sân chơi của nhà cung cấp, niềm tin sẽ tiếp tục bị bào mòn. Dữ liệu trên thiết bị cục bộ không nên rò rỉ ngoài giao diện không dây một cách ngoài dự kiến, và bất kỳ tính năng nào đưa dữ liệu cục bộ lên mạng đều phải gắn với ý định của người dùng
    Câu trả lời theo hướng hoài nghi cho việc vì sao Apple không đơn giản hỏi người dùng có muốn bật tính năng này hay không là: Apple biết rằng nếu hỏi thì một số người dùng sẽ lập tức từ chối, nhưng họ cảm thấy mình biết rõ hơn những người dùng đó. Tôi không thích thái độ này, và tôi nghĩ đó cũng là lý do sự bất mãn với đo từ xa opt-out ngày càng lớn

    • Chính lối suy nghĩ đó đã sinh ra những banner cookie khủng khiếp
      Việc thêm nhiều hộp thoại mà đa số người dùng sẽ vô thức bấm “Cho phép” không giải quyết được vấn đề
      Xã hội về cơ bản đã chấp nhận việc trao quyền truy cập dữ liệu cho bên thứ ba là ổn, và nếu thêm ma sát vào đó thì chẳng khác nào phạt 98% người dùng vì 2% vốn dĩ cũng sẽ không dùng các dịch vụ như vậy
      Nếu công chúng được giáo dục tốt hơn thì cán cân có thể thay đổi, nhưng thực tế không phải vậy, và trải nghiệm người dùng tốt phải phản ánh thực tế
    • Opt-in không hiệu quả, và ngay từ đầu nó chưa từng hiệu quả
      Đại đa số người dùng, hơn 95%, không hiểu popup có nghĩa gì, thậm chí có vẻ không có khả năng đọc nó, và họ luôn chấp nhận, luôn từ chối, hoặc bấm nút nổi bật hơn
      Hãy quan sát các thành viên gia đình không thuộc ngành công nghệ cũng không thuộc tầng lớp quản lý chuyên nghiệp, rồi hỏi họ popup vừa đóng là gì và vì sao họ đóng nó; bạn sẽ nhận được bài học hay nhất về sự tương tác giữa công nghệ và quyền riêng tư
    • Ảnh trên iOS từ lâu đã có thể tìm kiếm ảnh theo địa chỉ nơi ảnh được chụp
      Để làm được vậy, cần lấy vĩ độ/kinh độ của vị trí ảnh rồi chuyển thành địa chỉ mà con người hiểu được thông qua truy vấn reverse geocoding, và cách làm này gần như luôn là truy vấn một dịch vụ reverse geocoding toàn cầu
      Tôi tò mò liệu bạn có xem tính năng này cũng là xâm phạm quyền riêng tư và cần opt-in hay không. Nếu không, tôi không hiểu vì sao dịch vụ reverse geocoding lại riêng tư hơn dịch vụ tra cứu địa danh
    • Kết quả là những thứ như https://chromewebstore.google.com/detail/i-still-dont-care-a...
      Cá nhân tôi không tin các popup kiểu này đạt được mục đích gì. Rốt cuộc, không thể chứng minh một cách hợp lý rằng website đang hành xử thiện chí. Việc một ứng dụng hỏi có được liên hệ máy chủ hay không không bảo đảm rằng bấm “Không” thì việc theo dõi thực sự sẽ bị chặn
      Tôi vẫn luôn ngạc nhiên khi thấy người ta tự thuyết phục mình rằng quyền riêng tư ở quy mô lớn sẽ vận hành bằng các tổ hợp nút Có/Không khác nhau. Chỉ có hai cách để tin tưởng phần mềm: 1. ngây thơ kiểm tra xem ở đâu có ghi “privacy first” 2. hiểu đến mức phần mềm đang chạy có thể thực thi những lệnh nào
      Popup quyền cũng thiếu độ chi tiết. Khi cho phép truy cập danh bạ, thực tế là truy cập những liên hệ nào? Có thể chỉ cho phép tên và chặn số điện thoại không? Xử lý ngoại tuyến hay trực tuyến? Nếu trực tuyến thì có cần hiện thêm popup truy cập Internet không? Vậy có nên lọc cả loại hành vi Internet nào được phép không? Cứ đi xuống như vậy thì cuối cùng sẽ tới một hệ thống quyền Turing-complete, còn nếu không thì “quyền riêng tư” sẽ có lỗ hổng
    • Dù có opt-in, nhà cung cấp vẫn sẽ tiếp tục làm phiền cho đến khi người dùng trong một khoảnh khắc bất cẩn bấm “Có”
      Tôi rõ ràng từng thấy một ô mà tôi không chọn lại được đánh dấu sẵn. Tôi muốn tắt những thứ này đi và không bao giờ cho bật lại, nhưng nhà cung cấp đời nào cho phép. Vì vậy tôi dùng Linux
  • Người dùng các ứng dụng mã nguồn mở miễn phí của tôi có vẻ ngạc nhiên khi biết rằng chúng tôi hoàn toàn không có chút insight nào về mô thức sử dụng của họ
    Có những tình huống mà một lượng nhỏ telemetry ẩn danh sẽ cực kỳ hữu ích, nhưng tôi không định đụng tới
    Opt-in không chỉ làm giảm mạnh lượng dữ liệu, mà còn đưa thiên lệch lớn vào dữ liệu được chọn, khiến dữ liệu trở nên vô dụng. Những người opt-in có lẽ không phải là một mẫu tốt của “người dùng điển hình”
    Opt-out, dù có cung cấp biện pháp bảo vệ hay bảo đảm nào đi nữa, vẫn không thể chấp nhận được với một số người dùng, và họ sẽ nói điều đó rất mạnh mẽ
    Tôi hiểu rằng kẻ xấu rất dễ lạm dụng telemetry, và “dữ liệu ẩn danh” có thể hóa ra không hề ẩn danh theo vô số cách đáng ngạc nhiên. Dù vậy vẫn có cảm giác tiếc nuối kiểu “đây là lý do chúng ta không thể có những thứ tốt đẹp”

    • Trước đây tôi không nhớ đã thấy ở đâu, nhưng có một trang gom dữ liệu phân tích ở phía client vào thứ gì đó như vòng đệm tuần hoàn, rồi trong menu cài đặt cho phép gửi một lần, luôn gửi, hoặc tự tải xuống
      Khi xảy ra lỗi, một toast hiện lên đề nghị chia sẻ dữ liệu phân tích để giúp khắc phục sự cố, và tất nhiên có thể từ chối. Có lẽ đó là hệ thống tốt nhất tôi từng thấy, nhưng tôi không nhớ là trang nào
    • Cốt lõi là mọi thứ đều gắn với sự đồng ý. Không có opt-out thì hoàn toàn không có sự đồng ý, còn nếu mặc định là opt-out thì chất lượng của sự đồng ý giảm mạnh. Chỉ có niềm tin mới là con đường dẫn tới sự đồng ý
      1. Để tạo niềm tin cần ba nhánh: opt-in, đồng ý kiểu khảo sát, và opt-out. Khảo sát là cơ chế xác minh chủ động của niềm tin và giúp giao tiếp băng thông thấp. Cần hỏi khi người dùng dùng lần đầu hoặc lần khởi động ứng dụng tiếp theo sau khi tính năng này được thêm vào
      2. Cần cung cấp cho người dùng cuối đúng thông tin phân tích mong muốn để họ cũng có thể parse được. Nếu cung cấp báo cáo hoặc chế độ xem để họ tự đánh giá thông tin được phép chia sẻ, niềm tin sẽ tăng lên
      3. Quyền hạn được tin cậy dẫn đến nhiều sự đồng ý hơn. Cũng có thể ưu tiên hỗ trợ tính năng và lỗi cho người dùng đã opt-in. Lịch sử phân tích và thông tin hiệu năng có thể giúp xử lý lỗi vừa được báo cáo
        Apple, Microsoft, Google, v.v. xử lý việc chia sẻ phân tích một cách mơ hồ, không có chi tiết, và cũng không nói rõ dữ liệu được dùng và có thể bị lạm dụng ra sao. Phần lớn thậm chí không cung cấp opt-out. Tôi không tin các tổ chức này nhưng vẫn phải tiếp xúc với chúng trong cuộc sống. Facebook hay Twitter thì không cần dùng và thực tế tôi không dùng. Khảo sát của Steam thì tôi chấp nhận
        Để giải quyết tình trạng thiếu thông tin phân tích mà cộng đồng mã nguồn mở có thể hưởng lợi, một RFC tiêu chuẩn phân tích đã được thống nhất có thể là một bước tiến. Đó là cách hai phía đồng ý với một hình thức giao tiếp đã được thống nhất
        Theo quan điểm của tôi, metadata cũng là dữ liệu cá nhân. Không có người dùng thì không có dữ liệu hay metadata. Người dùng cuối là entropy của metadata, nên chủ sở hữu của metadata và dữ liệu là người dùng
    • Tôi nghĩ có thể thu thập thống kê trên thiết bị, rồi vài tháng một lần hiện popup cho xem thống kê
      Tôi không rõ sẽ thêm vào những thiên lệch nào
      Ví dụ hỏi rằng “Chúng tôi đã tạo ứng dụng này và rất coi trọng quyền riêng tư. Đây là thông tin đã được thu thập trong quá trình sử dụng trong tháng qua. Bạn có cho phép gửi thông tin này cho chúng tôi để cải thiện ứng dụng không?”, đồng thời hiển thị dữ liệu đã thu thập ở dạng con người đọc được
    • Không hiển nhiên vì sao opt-in lại khiến dữ liệu vô dụng. Có thể còn liên quan đến cách trình bày opt-in
      Nói chung tôi kỳ vọng đây là một giải pháp khả thi. Dù nhóm opt-in khác với “người dùng điển hình”, đó vẫn là dữ liệu tốt nhất có thể thu được một cách trung thực và có đạo đức. Chắc chắn phải tốt hơn là hoàn toàn không có dữ liệu chứ
      Trên mọi website và ứng dụng hiển thị banner đồng ý cookie opt-in, trạng thái này thực ra đã được áp dụng một cách ngầm định
    • Đây là một trong những lý do chính khiến mọi người nói chung xây dựng trên web
      Rất khó cải thiện phần mềm desktop, và đặc biệt người dùng Linux thường có thái độ đối nghịch với các mô thức giúp việc cải thiện trở nên khả thi
  • Đồng ý hoàn toàn 100%:
    “Cách duy nhất để bảo đảm quyền riêng tư trong điện toán là không gửi dữ liệu ra khỏi thiết bị”
    “Việc chấp nhận rủi ro xâm phạm quyền riêng tư đến mức nào phải do từng người dùng quyết định. [...] Bằng cách bật ‘tính năng’ mà không hề hỏi, Apple không tôn trọng người dùng và các lựa chọn ưu tiên của họ. Tôi chưa từng muốn iPhone của mình liên hệ máy chủ của Apple.”
    Dù tính năng này được làm rối đến đâu, “an toàn” đến đâu, hay “bảo vệ quyền riêng tư” đến đâu đi nữa, sự thật rằng một thông tin nào đó phái sinh từ nội dung cá nhân được truyền đi mà không có sự đồng ý trước vẫn không thay đổi
    Ngay cả khi thông tin được bảo vệ, mọi truy vấn mạng đều là thông tin. Dấu thời gian cho thấy một hành động cụ thể đã diễn ra vào một thời điểm cụ thể; chẳng hạn nếu ngay khi thêm ảnh mới mà có thứ gì đó được gửi tới dịch vụ này thì có thể lộ việc đã chụp ảnh, một địa điểm cụ thể được tương quan với thông tin vị trí vào thời điểm đó, v.v.; đó chỉ là phần nổi của tảng băng. Việc truyền thông tin từ thiết bị của người dùng mà không có sự đồng ý rõ ràng là xâm phạm quyền riêng tư

    • Vậy có nghĩa là tin nhắn Signal cũng không an toàn vì chúng cũng được truyền đi, và “làm rối” là không đủ để bảo vệ dữ liệu sao? Tôi tự hỏi liệu người viết có đọc phần Apple nói họ thực sự làm gì với dữ liệu trước khi truyền đi hay không — phần mà người viết đã trích dẫn rồi sau đó thừa nhận là không hiểu
      Lập luận về metadata thì tôi thấy là có thể, nhưng ngay cả ở đó cũng có nhiều giả định. Đặc biệt cần giả định rằng Apple thực ra không dùng OHTTP và đang thông đồng để tìm ra khi nào người dùng chụp ảnh. Nếu về cơ bản không tin vào toán học, tôi không biết sự bất định và nghi ngờ sẽ dừng ở đâu
    • Tiền đề “giả sử, giống như khi chụp ảnh, ngay khi thêm ảnh mới thì có thứ gì đó được gửi tới dịch vụ này” là sai, rồi từ đó nhảy thẳng đến kết luận
      Có thể dễ dàng xác nhận rằng việc đó không xảy ra ngay sau khi chụp ảnh. Thứ nhất, lưu lượng mạng sẽ cho thấy điều đó, và thực tế thì không phải vậy. Thứ hai, mã hóa đồng cấu rất tốn kém nên không thể làm theo cách đó. Photos thường không đồng bộ ngay lập tức; có thể thấy điều này từ việc hầu hết người dùng iPhone đều thấy ứng dụng Photos thông báo thời điểm đồng bộ. Các tác vụ tốn kém thường được đưa vào hàng đợi cho đến khi thiết bị cắm sạc và đang dùng Wi‑Fi
    • Cần bao nhiêu dung lượng để lưu mô hình của mọi địa điểm đã biết trên thế giới và các vật thể phổ biến?
      Ví dụ, tôi gửi cho bạn một bức ảnh chó con trong bồn tắm, và AirPods của cô ấy thông qua iPhone đã báo “Ai đó đã gửi ảnh chó trong bồn tắm.” Bạn tôi cũng nói tính năng đó hay, và cá nhân tôi thấy nó hữu ích. Chỉ là tôi không biết việc này cần xử lý ngoài thiết bị đến mức nào
    • Tất cả những vấn đề này đều được đề cập trong bài blog của Apple về cách triển khai tính năng này. Có hai bước được áp dụng để giảm rủi ro
      1. iOS tạo thêm truy vấn giả, và mọi truy vấn đều đi qua một bộ lập lịch để không thể phân biệt truy vấn thật với truy vấn giả bằng thời điểm tra cứu, hoặc xác định thời điểm chụp ảnh
      2. Mọi truy vấn đều được thực hiện ẩn danh bằng dịch vụ chuyển tiếp của bên thứ ba. Vì vậy Apple không thể gắn một truy vấn cụ thể với một thiết bị hay địa chỉ IP cụ thể
        Xét đến hai biện pháp giảm thiểu này, để lấy dữ liệu cá nhân bằng tính năng này thì trước tiên phải xâm nhập điện thoại của mục tiêu để tắt truy vấn giả, rồi tiếp đó xâm nhập bên chuyển tiếp để tương quan truy vấn với một địa chỉ IP cụ thể
        Nếu làm được tất cả những việc đó thì nói thật là lãng phí công sức một cách ngớ ngẩn. Vì có thể dùng việc xâm nhập iOS để khiến thiết bị gửi trực tiếp dữ liệu vị trí. Không cần phải làm việc phiền phức là chờ mục tiêu chụp ảnh, theo dõi nhiều lần tra cứu landmark, rồi thu thập từng chút dữ liệu bổ sung cho mỗi truy vấn để cuối cùng xác định vị trí mục tiêu
        Toàn bộ chuyện này làm tôi nhớ đến XKCD 538
        https://machinelearning.apple.com/research/homomorphic-encry...
  • Tôi tự hỏi liệu đây có phải là màn khói để từ từ đưa quét CSAM trở lại sau làn sóng phản đối lần trước không. Hành vi bật mặc định trông đáng ngờ
    [1] https://www.wired.com/story/apple-photo-scanning-csam-commun...

    • Tôi cũng nghĩ y hệt. Trông giống kiểu: “Chúng ta có công nghệ nhận dạng dấu vân tay hình ảnh tinh vi, nhưng dùng cho phát hiện CSAM thì quá gây tranh cãi nên không thể phát hành; vậy hãy đưa luồng cốt lõi vào một thứ gì đó có vẻ hữu ích với người dùng để mã vẫn sống, được cải thiện và sẵn sàng mở rộng trong tương lai”
      Liệu kiểu nhận dạng dấu vân tay đó có thể được giới hạn một cách đáng tin cậy chỉ ở landmark công cộng hay không là một câu hỏi thú vị, và phụ thuộc vào các chi tiết triển khai chưa rõ ràng
      Ngay cả khi phần tìm kiếm người dùng nhìn thấy bị giới hạn ở “landmark”, liệu quá trình đó — dù chỉ trong thiết bị — có đang tạo sẵn dấu vân tay của rất nhiều thứ khác không? Nếu có, thì mã độc không thường trú chỉ kích hoạt trong thời gian ngắn có thể ngay lập tức tìm ra các hình ảnh cần quan tâm mà không cần quyền truy cập rộng hơn và xử lý bổ sung như vốn dĩ cần có
    • Đúng vậy. Đây là cách nhét yếu tố liên hệ máy chủ vào dưới lý do “khớp vị trí” trông vô hại
      Chỉ mục toàn cục đương nhiên sẽ khớp cả với những dấu hiệu khác mà Apple cho là đáng khớp, dù không trả chúng về cho người dùng
    • Giống hệt cách Microsoft “lùi bước” với Recall. Rồi cuối cùng lại nhét trở lại và biến nó thành thứ không thể xóa
    • Tôi cũng nghĩ vậy. Công nghệ đó quá đắt đỏ, nên có vẻ họ cần thử nghiệm hoặc chạy nó để chứng minh rằng nó riêng tư
      Tôi nghĩ mô hình tìm landmark trong ảnh cũng có thể chạy cục bộ, nhưng chỗ này thì tôi không chắc 100%
    • Không. Dù Apple có những khiếm khuyết khác thế nào, tôi không nghĩ vậy
      Nếu đưa ra lý do theo hướng hoài nghi: một tính năng kỹ thuật ở quy mô này không thể được lên kế hoạch mà không có tài liệu, và những tài liệu đó chắc chắn sẽ lộ ra trước tòa
      Lý do bề mặt là Apple thật sự muốn cung cấp một tính năng hữu ích cần có sự tham gia của máy chủ
  • Về phần nói rằng không hiểu phần lớn các chi tiết kỹ thuật trong bài blog của Apple: tôi hiểu đoạn được trích, và xin lỗi, nhưng bài này lẽ ra cũng có thể là một bài lạc quan kiểu “Hãy nhìn công nghệ mới tuyệt vời này!”
    Tôi cũng ghét các thông lệ của Apple đi ngược lại tinh thần hacker theo nghĩa HN như mọi người, và vì những lý do đó tôi cũng không sở hữu thiết bị Apple nào, nhưng câu “không quan trọng họ đã giải quyết vấn đề quyền riêng tư ra sao, tôi cảm thấy nó không riêng tư” không tạo ra sự thật
    Hầu hết người khác cũng không hiểu những từ được trích dẫn, và còn không chắc họ đã đọc đến đó, nên điều này trông như một lời phê bình không công bằng

    • Tôi biết đến mã hóa đồng cấu qua các bài nghiên cứu vài năm trước
      Theo hiểu biết của tôi khi đó, các phép toán như SUM có thể tính tổng một danh sách số đã được mã hóa. Nhờ cách mã hóa, có thể cộng tất cả giá trị mà không cần giải mã, và kết quả vẫn ở trạng thái mã hóa để chủ sở hữu giải mã ra một con số với độ chính xác đã biết
      Nếu Apple đang dùng mã hóa đồng cấu đúng cách, Apple sẽ không có cách nào xem dữ liệu nhận từ điện thoại. Những thứ khác được nhắc trong bài là các biện pháp để ngăn rò rỉ thông tin qua metadata hoặc kênh phụ
      Việc tính năng này được bật mặc định thì không hay lắm. Đáng ra sau khi nâng cấp, hệ thống nên hỏi người dùng có muốn bật hay không
    • Phê bình cốt lõi là dữ liệu riêng tư và nhạy cảm bị gửi cho Apple mà không có sự đồng ý và cảnh báo
    • Làm sao có thể tin tưởng một thứ mình không hiểu? Cuối cùng niềm tin phải đến từ một người hay tổ chức nào đó mà ta tin là hiểu những vấn đề như vậy, tức là một thẩm quyền
      Với nhiều người, thẩm quyền đó không phải Apple. Tôi có thận trọng tin vào chính sách quyền riêng tư của Apple, nhưng nhiều người không tin Apple, và họ có lý do
      Vì vậy, khi một tính năng Apple không opt-in chia sẻ dữ liệu cá nhân, còn phần giải thích kỹ thuật của Apple thì người dùng cũng không hiểu, cảm giác bị xâm phạm quyền riêng tư sẽ tăng lên và dẫn đến sự bất tín lớn hơn. Vậy có thể gọi đó là phê bình không công bằng không
    • Bạn đang phê bình một người có liên quan lợi ích trong khi chính bạn còn không có thiết bị Apple sao
      Bài blog của tôi được viết từ góc nhìn của một người dùng Apple cảm thấy niềm tin bị phản bội. Đứng từ khoảng cách an toàn và nghĩ công nghệ này thật hay thì cũng được, và thực tế có thể đúng là hay, nhưng điều đó không liên quan đến vấn đề cốt lõi là thiếu sự đồng ý của người dùng
  • Với tôi, nhìn chung đây có vẻ là một tính năng hợp lý được triển khai với sự cân nhắc lớn đến quyền riêng tư của người dùng. Tuy vậy cũng có thể là tôi đang quá tin vào phần giải thích
    Bài này nhìn chung giống nội dung nhằm kích động phẫn nộ, và tôi nghĩ nên cẩn thận để không bị “dắt mũi” bởi những bài như vậy trên Hacker News. Cũng giống như phải cẩn thận khi thấy các bài kích động phẫn nộ trên báo lá cải hay Facebook
    Một số lo ngại trong bài hoặc trong thread này có vẻ nhiều khả năng không ảnh hưởng mấy đến doanh thu của Apple. Lo ngại thực tế mà một số khách hàng có thể có là dung lượng dữ liệu, và tôi đoán tính năng này nhiều khả năng sẽ bị tắt trong Low Data Mode
    Tôi tự hỏi liệu những vấn đề kiểu này có thể được giải quyết bằng một thiết lập như mặc định quyền riêng tư hay không. Theo đó, nhà báo, nhà hoạt động, một số bộ phận IT doanh nghiệp, và những người viết các bài như bài gốc có thể chọn để khi cập nhật OS, hệ thống được đặt ở mức ít giao tiếp với mạng hơn. Có vẻ sẽ khó tạo một UI dễ hiểu. iOS đã có “Lockdown Mode”, nhưng tôi không biết nó có ảnh hưởng đến thiết lập này hay không

    • Điều Apple lẽ ra phải làm thật sự chỉ là không bật mặc định. Việc tự ý gửi thứ gì đó qua mạng mà không hỏi đang ngày càng làm giảm niềm tin vào Apple
    • Đây là một tính năng hợp lý, nhưng vẫn cần người dùng opt-in. Để giảm phiền toái, có thể gom các lựa chọn opt-in lại và hỏi trong lúc cài đặt hoặc nâng cấp
    • Điều đặc biệt chưa rõ là liệu iOS có quét toàn bộ dữ liệu trong điện thoại và gửi một phần lên chỉ mục công khai hay không
      Dựa trên cách tính năng thể hiện trong UI thì có vẻ không phải vậy. Nếu tính năng được kích hoạt bởi hành động của người dùng, tôi tự hỏi liệu việc này cũng nên được xem là liên hệ với máy chủ hay không
    • Nếu một công ty khác làm, có lẽ có thể coi đây là một tính năng hợp lý được làm một cách hợp lý. Vấn đề là Apple đã chi hàng chục đến hàng trăm triệu USD để quảng cáo rằng họ không làm những việc như thế này
      Thông điệp là những thứ đó vẫn ở trong iPhone, không như cái OS khó chịu kia do công ty quảng cáo vận hành. Rằng Apple tuyệt đối không lấy dữ liệu ra ngoài, bạn không phải là sản phẩm, và Apple quan tâm đến bạn
      Việc như thế này, dù xét riêng có hợp lý hay không, cũng phá sập hoàn toàn câu chuyện đó. Nếu họ sẵn sàng nói dối trắng trợn như vậy trên những biển quảng cáo khổng lồ, thì không biết họ còn sẽ làm gì nữa khi lợi ích đòi hỏi
  • Tôi vừa thấy một thiết lập liên quan đến tìm kiếm tương tự mà hình như trước iOS 18 không có
    Vào Cài đặt -> Tìm kiếm thì có tùy chọn “Help Apple Improve Search” và nó được bật mặc định
    “Cho phép Apple lưu các tìm kiếm bạn nhập trong Safari(!!), Siri, Spotlight theo cách không liên kết với bạn để giúp cải thiện Search. Tìm kiếm bao gồm các truy vấn kiến thức chung và các yêu cầu như phát nhạc, chỉ đường.”
    Nếu trước đây đã có thì tức là nó đã được bật lại

    • Phần “lưu các tìm kiếm nhập trong Safari [...] theo cách không liên kết với bạn” thì chỉ cần nhìn các nghiên cứu tái định danh từ 10 năm trước cũng đã thấy rõ lịch sử tìm kiếm bộc lộ hoàn toàn người dùng
      Cần rất nhiều chi tiết thì tôi mới tin cách Apple lưu trữ có thể bảo vệ ổn định quyền riêng tư của tôi. Dĩ nhiên đoạn trích cũng không khẳng định như vậy
    • Cái này còn nghiêm trọng hơn bài gốc. Apple đang sống ở vũ trụ song song nào mà nghĩ rằng đặt việc thu thập lịch sử tìm kiếm của mọi người làm mặc định mà không có sự đồng ý là ổn
    • Chết tiệt, đúng vậy. Trên thiết bị của tôi nó cũng được bật mặc định, và tôi không nghĩ có chuyện tôi từng đồng ý với việc này
    • Đúng. Đây cũng là một thiết lập khác được bật mặc định
  • Để tham khảo, trên macOS, dịch vụ photoanalysisd chạy nền và quét ảnh ngay cả khi bạn chưa từng mở Apple Photos
    Không thể vô hiệu hóa nó nếu không tắt SIP, tức System Integrity Protection (Bảo vệ toàn vẹn hệ thống), và để làm vậy cần một quy trình phức tạp gồm nhiều lần khởi động lại và vượt qua các cảnh báo. Nếu bật lại SIP thì nó sẽ được kích hoạt lại
    Vì lý do nào đó, Apple có vẻ khá nhiệt tình với việc phân tích ảnh, dù người dùng có muốn hay không

    • Có thể bạn cũng sẽ ngạc nhiên khi biết Spotlight cũng quét mọi tệp trên Mac
    • Nhưng dù sao thì cái đó cũng chạy cục bộ trên Mac, không phải sao
    • Về lý thuyết, CSAM có thể đã là một phần của dịch vụ cục bộ nào đó rồi. Từ thời điểm thiết bị buộc phải có tài khoản được liên kết, quyền riêng tư đã chấm dứt. Không chỉ iCloud, mà là tài khoản gắn với chính thiết bị. Dùng máy tính Linux thì không cần tài khoản
    • Nó có liên lạc với máy chủ không? Tôi không ngại chuyện quét tệp của mình. Điều tôi bận tâm là chi tiết dữ liệu riêng tư của tôi rời khỏi thiết bị
    • Phần “Vì lý do nào đó, Apple có vẻ khá nhiệt tình với việc phân tích ảnh, dù người dùng có muốn hay không” liệu có dễ bị tổn thương nếu người dùng cuối làm nhiễu bẩn không
      Nếu mọi người chạy một trình tạo ảnh cục bộ được huấn luyện bằng ảnh của chính mình nhưng cố ý làm hỏng nhẹ, rồi dùng nó nhồi đầy bộ sưu tập hash ảnh của Apple bằng rác thì sao
      Sau đó sẽ thế nào?
      Đó sẽ là một tác dụng tẩy rửa rất tốt. Nhìn xem ai tức giận đến mức nào sẽ cho biết rất nhiều điều
  • Chuyện này làm tôi nhớ đến sự phẫn nộ thời COVID đối với hệ thống thông báo phơi nhiễm bảo toàn quyền riêng tư của Apple và Google
    Việc có thể thông báo phơi nhiễm mà không theo dõi nghe có vẻ trái trực giác, nhưng công nghệ đó thực sự đã làm được
    Ở đây cũng vậy, tác giả có vẻ không cố đánh giá đúng hiệu quả của các kỹ thuật như vector hóa phía client, differential privacy, relay OHTTP, mã hóa đồng hình, mà dựa vào phản ứng tức thời trước nguy cơ xâm phạm quyền riêng tư
    Tuy nhiên, tôi hoàn toàn đồng ý rằng với những tính năng như thế này, Apple trước hết phải xin sự đồng ý của người dùng

    • Tôi muốn được đánh giá quyền riêng tư của các công nghệ này
      Nếu ai đó gắn link mã nguồn thì tôi có thể xem chính xác nó làm gì, thay vì tin lời một người nào đó trên Internet
      Tốt hơn nữa là cho phép tôi tự biên dịch
    • Tính năng COVID đó là opt-in. Điều tác giả đang phàn nàn bây giờ là không có opt-in
  • Về phần “không hiểu hầu hết chi tiết kỹ thuật trong bài blog của Apple”, tôi thì hiểu
    Vector hóa phía client: xử lý ảnh cục bộ và chuẩn bị một biểu diễn vector không thể đảo ngược trước khi gửi. Hãy nghĩ đến nó như một dạng hash theo ngữ nghĩa
    Differential privacy: thêm khá nhiều nhiễu vào vector trước khi gửi. Mức đủ để không thể tra ngược vector. Ở đây mức nhiễu là ε = 0.8, tức quyền riêng tư khá tốt
    Relay OHTTP: dữ liệu được gửi qua bên thứ ba nên Apple không biết địa chỉ IP. Nội dung được mã hóa nên bên thứ ba cũng không học được gì. Có rủi ro lộ ra ở mức “IP X là người dùng Apple Photos”, nhưng không thể biết nội dung thư viện
    Mã hóa đồng hình: thao tác truy vấn được thực hiện trên máy chủ với dữ liệu đã mã hóa. Apple không thể giải mã nội dung vector hay nội dung phản hồi, chỉ client mới có thể giải mã kết quả truy vấn
    Đây là hình mẫu của một thiết kế quyền riêng tư tốt. Có nhiều lớp bảo vệ quyền riêng tư, và chỉ cần một trong ba lớp sau cũng đã đủ để bảo vệ quyền riêng tư
    Về lập luận “mỗi người dùng cá nhân nên quyết định mức chấp nhận rủi ro xâm phạm quyền riêng tư của mình”, tác giả trông giống một nhà nghiên cứu bảo mật của Apple nhưng lại đang nói rằng mình không thể đưa ra lựa chọn dựa trên thông tin đầy đủ ở đây
    Tôi không chắc phán đoán nào là đúng. Nhưng kết luận “vì vậy cách duy nhất để bảo đảm quyền riêng tư trong điện toán là không gửi dữ liệu ra khỏi thiết bị” là không đúng. Có những công cụ vừa cho phép dùng dịch vụ vừa cung cấp quyền riêng tư, chẳng hạn differential privacy và mã hóa đồng hình. Chúng rất phức tạp và người dùng thực tế không thể đánh giá rủi ro, nhưng nếu bạn muốn các tính năng cần bộ dữ liệu lớn hơn ổ đĩa hoặc nội dung thay đổi thường xuyên, thì cần những công cụ như vậy

    • Cảm ơn phần giải thích, nhưng có vẻ nó chưa chạm đến vấn đề cốt lõi. Đó là dữ liệu của tôi đang được gửi ra khỏi thiết bị theo mặc định, mà không có thông báo hợp lý
      Nhiều người dùng có thể đồng ý với tính năng này. Như bạn nói, nó cũng có thể rất an toàn. Nhưng vấn đề là mọi người bị mặc định xem như đã đồng ý
    • “Hình mẫu của một thiết kế quyền riêng tư tốt” là ảnh của tôi không được gửi đi bất cứ đâu, dưới bất kỳ hình thức nào, nếu không có quyền opt-in rõ ràng
    • Bạn đang đưa ra một lưỡng phân giả giữa “người dùng hiểu hoàn hảo” và “không có lựa chọn cho người dùng”. Vấn đề không phải là liệu người dùng có thể hiểu hoàn toàn mã hóa đồng hình hay differential privacy hay không, mà là đồng ý và minh bạch cơ bản
      Người dùng không cần bằng tiến sĩ để hiểu câu “Tính năng này gửi dữ liệu về ảnh của bạn lên máy chủ Apple để cải thiện tìm kiếm”
      Việc các biện pháp bảo vệ quyền riêng tư phức tạp không biện minh cho việc loại bỏ lựa chọn của người dùng. Theo logic đó thì không nên hỏi người dùng về bất kỳ tính năng kỹ thuật nào
      Nhiều người dùng có ý thức cao về quyền riêng tư tuân theo một nguyên tắc đơn giản: họ muốn kiểm soát những gì rời khỏi thiết bị, bất kể cách bảo vệ là gì
      Lập luận “quá phức tạp để giải thích” có thể biện minh cho bất kỳ mặc định xâm phạm quyền riêng tư nào. Bạn có áp dụng cùng tiêu chuẩn đó cho lý lẽ rằng có thể bật mặc định dịch vụ vị trí vì giải thích công nghệ GPS quá phức tạp không
      Giải pháp thật sự rất đơn giản. Giải thích tính năng bằng ngôn ngữ dễ hiểu, nhấn mạnh lợi ích, tóm tắt các biện pháp bảo vệ quyền riêng tư, rồi để người dùng lựa chọn. Apple đã làm như vậy với nhiều tính năng khác. Tắt theo mặc định và opt-in là nguyên tắc cốt lõi của thiết kế tôn trọng quyền riêng tư, bất kể lớp bảo vệ bên dưới vững chắc đến đâu
    • Thiết kế quyền riêng tư tốt thực ra là không gửi bất kỳ thông tin nào cho bất kỳ ai, ở bất kỳ đâu, vào bất kỳ lúc nào
    • Tác giả không phải là nhà nghiên cứu bảo mật của Apple
      Jeff Johnson phát triển ứng dụng cho các nền tảng Apple, đặc biệt là phần mở rộng Safari, và thường xuyên viết blog về những điều khó chịu với Apple, nhưng không phải là nhà nghiên cứu bảo mật