Tính năng truyền dữ liệu từ xa của Apple Photos trên iOS 18 và macOS 15
(lapcatsoftware.com)- Enhanced Visual Search đã được thêm vào Photos trên iOS 18 và macOS Sequoia, và trên iPhone cùng Mac của tác giả thì nó được bật sẵn theo mặc định
- Tính năng này hỗ trợ tìm kiếm bằng cách đối chiếu riêng tư địa danh và điểm quan tâm trong ảnh với chỉ mục toàn cầu trên máy chủ Apple
- Apple giải thích rằng họ dùng mã hóa đồng hình, quyền riêng tư vi sai và chuyển tiếp OHTTP để không thể biết thông tin ảnh, nhưng chính việc giao tiếp với máy chủ mới là trọng tâm của tranh cãi về quyền riêng tư
- Trọng tâm chỉ trích không phải là ác ý từ Apple mà là khả năng xảy ra lỗi phần mềm, và điều này được viện dẫn bằng việc các lỗ hổng vẫn liên tục xuất hiện trong ghi chú phát hành bảo mật của Apple
- Trên macOS có thể chặn liên lạc ở một mức độ nào đó bằng Little Snitch, nhưng trên iOS không có lựa chọn tương tự nên người dùng khó tự bảo vệ mình
Kích hoạt mặc định của Enhanced Visual Search
- Một mục mới có tên Enhanced Visual Search đã được thêm vào phần cài đặt Photos trên iPhone và được bật mặc định
- Cài đặt tương tự cũng mới xuất hiện trong Photos của macOS Sequoia, và trên Mac cũng được bật sẵn theo mặc định
- Tác giả đã tự tắt cài đặt đó trước khi chụp ảnh màn hình
Cách hoạt động theo tài liệu của Apple
- Tài liệu Photos & Privacy của Apple cho biết Enhanced Visual Search cho phép tìm kiếm ảnh theo địa danh hoặc điểm quan tâm
- Thiết bị sẽ đối chiếu riêng tư các địa điểm trong ảnh với chỉ mục toàn cầu trên máy chủ Apple
- Apple cho biết họ sử dụng các công nghệ sau để bảo vệ quyền riêng tư
-
Mã hóa đồng hình
-
Quyền riêng tư vi sai
- Chuyển tiếp OHTTP để ẩn địa chỉ IP
- Theo tài liệu của Apple, có thể tắt tính năng này tại
Settings > Apps > Photostrên iOS·iPadOS vàPhotos > Settings > Generaltrên Mac - Bài nghiên cứu của Apple Machine Learning Research Combining Machine Learning and Homomorphic Encryption in the Apple Ecosystem được công bố vào ngày 24 tháng 10 năm 2024, còn ngày phát hành chính thức của iOS 18 và macOS 15 là 16 tháng 9 năm 2024
-
Chỉ trích về quyền riêng tư
- Điểm xuất phát của chỉ trích là việc Apple đã tăng cường trải nghiệm trên thiết bị bằng giao tiếp với máy chủ dù người dùng không hề yêu cầu
- Theo tiêu chuẩn của tác giả, chỉ khi mọi tính toán đều kết thúc trên thiết bị thì mới là riêng tư; nếu dữ liệu đi tới máy chủ của nhà sản xuất thì khó có thể xem là hoàn toàn riêng tư
- Tác giả cũng nói rằng bản thân mình không thể trực tiếp đánh giá việc triển khai của Apple có an toàn về mặt kỹ thuật hay không
- Tuy vậy, vì các lỗ hổng vẫn liên tục được thêm vào ghi chú phát hành bảo mật của Apple, nên tác giả cho rằng khó có thể tin nguyên trạng các tuyên bố về quyền riêng tư của Apple
- Ngay cả khi không có ác ý hay âm mưu, chỉ riêng lỗi phần mềm cũng có thể khiến người dùng trở nên dễ bị tổn thương, và Apple không thể đảm bảo phần mềm hoàn toàn không có lỗi
Quyền lựa chọn của người dùng và công cụ chặn
- Tác giả không quan tâm đến Enhanced Visual Search, nên ngay cả khi tính năng hoạt động hoàn hảo thì cũng không thấy có lợi ích nào đủ để chấp nhận rủi ro
- Cách bật sẵn tính năng mà không có sự cho phép của người dùng bị chỉ trích là không tôn trọng người dùng và các lựa chọn của họ
- Tác giả cho rằng khẩu hiệu quảng cáo của Apple “What happens on your iPhone, stays on your iPhone.” không phù hợp với trường hợp này
- Trên macOS, có thể phần lớn chặn liên lạc từ xa của phần mềm Apple bằng Little Snitch
- Trên iOS, các công cụ như Little Snitch không được cho phép, nên tác giả cảm thấy Apple đang ngăn người dùng tự bảo vệ mình
Tài liệu tiếp theo
- Trong phần phụ lục ngày 1 tháng 1 năm 2025, tác giả giới thiệu thêm bài tiếp theo The internet is full of experts và bản tổng hợp của Michael Tsai
1 bình luận
Ý kiến trên Hacker News
Điều tôi muốn rất đơn giản: tôi muốn phần mềm không gửi bất cứ thứ gì lên Internet trước khi có ý định rõ ràng từ người dùng
Công sức kỹ thuật để làm cho tính năng này có vẻ riêng tư là rất đáng khen, và bản thân việc triển khai một tính năng như vậy cũng không phải vấn đề, nhưng nhất thiết phải là opt-in
Chừng nào phần mềm còn đối xử với người dùng cuối cùng cùng dữ liệu của họ, kết nối mạng và các tài nguyên tương tự như sân chơi của nhà cung cấp, niềm tin sẽ tiếp tục bị bào mòn. Dữ liệu trên thiết bị cục bộ không nên rò rỉ ngoài giao diện không dây một cách ngoài dự kiến, và bất kỳ tính năng nào đưa dữ liệu cục bộ lên mạng đều phải gắn với ý định của người dùng
Câu trả lời theo hướng hoài nghi cho việc vì sao Apple không đơn giản hỏi người dùng có muốn bật tính năng này hay không là: Apple biết rằng nếu hỏi thì một số người dùng sẽ lập tức từ chối, nhưng họ cảm thấy mình biết rõ hơn những người dùng đó. Tôi không thích thái độ này, và tôi nghĩ đó cũng là lý do sự bất mãn với đo từ xa opt-out ngày càng lớn
Việc thêm nhiều hộp thoại mà đa số người dùng sẽ vô thức bấm “Cho phép” không giải quyết được vấn đề
Xã hội về cơ bản đã chấp nhận việc trao quyền truy cập dữ liệu cho bên thứ ba là ổn, và nếu thêm ma sát vào đó thì chẳng khác nào phạt 98% người dùng vì 2% vốn dĩ cũng sẽ không dùng các dịch vụ như vậy
Nếu công chúng được giáo dục tốt hơn thì cán cân có thể thay đổi, nhưng thực tế không phải vậy, và trải nghiệm người dùng tốt phải phản ánh thực tế
Đại đa số người dùng, hơn 95%, không hiểu popup có nghĩa gì, thậm chí có vẻ không có khả năng đọc nó, và họ luôn chấp nhận, luôn từ chối, hoặc bấm nút nổi bật hơn
Hãy quan sát các thành viên gia đình không thuộc ngành công nghệ cũng không thuộc tầng lớp quản lý chuyên nghiệp, rồi hỏi họ popup vừa đóng là gì và vì sao họ đóng nó; bạn sẽ nhận được bài học hay nhất về sự tương tác giữa công nghệ và quyền riêng tư
Để làm được vậy, cần lấy vĩ độ/kinh độ của vị trí ảnh rồi chuyển thành địa chỉ mà con người hiểu được thông qua truy vấn reverse geocoding, và cách làm này gần như luôn là truy vấn một dịch vụ reverse geocoding toàn cầu
Tôi tò mò liệu bạn có xem tính năng này cũng là xâm phạm quyền riêng tư và cần opt-in hay không. Nếu không, tôi không hiểu vì sao dịch vụ reverse geocoding lại riêng tư hơn dịch vụ tra cứu địa danh
Cá nhân tôi không tin các popup kiểu này đạt được mục đích gì. Rốt cuộc, không thể chứng minh một cách hợp lý rằng website đang hành xử thiện chí. Việc một ứng dụng hỏi có được liên hệ máy chủ hay không không bảo đảm rằng bấm “Không” thì việc theo dõi thực sự sẽ bị chặn
Tôi vẫn luôn ngạc nhiên khi thấy người ta tự thuyết phục mình rằng quyền riêng tư ở quy mô lớn sẽ vận hành bằng các tổ hợp nút Có/Không khác nhau. Chỉ có hai cách để tin tưởng phần mềm: 1. ngây thơ kiểm tra xem ở đâu có ghi “privacy first” 2. hiểu đến mức phần mềm đang chạy có thể thực thi những lệnh nào
Popup quyền cũng thiếu độ chi tiết. Khi cho phép truy cập danh bạ, thực tế là truy cập những liên hệ nào? Có thể chỉ cho phép tên và chặn số điện thoại không? Xử lý ngoại tuyến hay trực tuyến? Nếu trực tuyến thì có cần hiện thêm popup truy cập Internet không? Vậy có nên lọc cả loại hành vi Internet nào được phép không? Cứ đi xuống như vậy thì cuối cùng sẽ tới một hệ thống quyền Turing-complete, còn nếu không thì “quyền riêng tư” sẽ có lỗ hổng
Tôi rõ ràng từng thấy một ô mà tôi không chọn lại được đánh dấu sẵn. Tôi muốn tắt những thứ này đi và không bao giờ cho bật lại, nhưng nhà cung cấp đời nào cho phép. Vì vậy tôi dùng Linux
Người dùng các ứng dụng mã nguồn mở miễn phí của tôi có vẻ ngạc nhiên khi biết rằng chúng tôi hoàn toàn không có chút insight nào về mô thức sử dụng của họ
Có những tình huống mà một lượng nhỏ telemetry ẩn danh sẽ cực kỳ hữu ích, nhưng tôi không định đụng tới
Opt-in không chỉ làm giảm mạnh lượng dữ liệu, mà còn đưa thiên lệch lớn vào dữ liệu được chọn, khiến dữ liệu trở nên vô dụng. Những người opt-in có lẽ không phải là một mẫu tốt của “người dùng điển hình”
Opt-out, dù có cung cấp biện pháp bảo vệ hay bảo đảm nào đi nữa, vẫn không thể chấp nhận được với một số người dùng, và họ sẽ nói điều đó rất mạnh mẽ
Tôi hiểu rằng kẻ xấu rất dễ lạm dụng telemetry, và “dữ liệu ẩn danh” có thể hóa ra không hề ẩn danh theo vô số cách đáng ngạc nhiên. Dù vậy vẫn có cảm giác tiếc nuối kiểu “đây là lý do chúng ta không thể có những thứ tốt đẹp”
Khi xảy ra lỗi, một toast hiện lên đề nghị chia sẻ dữ liệu phân tích để giúp khắc phục sự cố, và tất nhiên có thể từ chối. Có lẽ đó là hệ thống tốt nhất tôi từng thấy, nhưng tôi không nhớ là trang nào
Apple, Microsoft, Google, v.v. xử lý việc chia sẻ phân tích một cách mơ hồ, không có chi tiết, và cũng không nói rõ dữ liệu được dùng và có thể bị lạm dụng ra sao. Phần lớn thậm chí không cung cấp opt-out. Tôi không tin các tổ chức này nhưng vẫn phải tiếp xúc với chúng trong cuộc sống. Facebook hay Twitter thì không cần dùng và thực tế tôi không dùng. Khảo sát của Steam thì tôi chấp nhận
Để giải quyết tình trạng thiếu thông tin phân tích mà cộng đồng mã nguồn mở có thể hưởng lợi, một RFC tiêu chuẩn phân tích đã được thống nhất có thể là một bước tiến. Đó là cách hai phía đồng ý với một hình thức giao tiếp đã được thống nhất
Theo quan điểm của tôi, metadata cũng là dữ liệu cá nhân. Không có người dùng thì không có dữ liệu hay metadata. Người dùng cuối là entropy của metadata, nên chủ sở hữu của metadata và dữ liệu là người dùng
Tôi không rõ sẽ thêm vào những thiên lệch nào
Ví dụ hỏi rằng “Chúng tôi đã tạo ứng dụng này và rất coi trọng quyền riêng tư. Đây là thông tin đã được thu thập trong quá trình sử dụng trong tháng qua. Bạn có cho phép gửi thông tin này cho chúng tôi để cải thiện ứng dụng không?”, đồng thời hiển thị dữ liệu đã thu thập ở dạng con người đọc được
Nói chung tôi kỳ vọng đây là một giải pháp khả thi. Dù nhóm opt-in khác với “người dùng điển hình”, đó vẫn là dữ liệu tốt nhất có thể thu được một cách trung thực và có đạo đức. Chắc chắn phải tốt hơn là hoàn toàn không có dữ liệu chứ
Trên mọi website và ứng dụng hiển thị banner đồng ý cookie opt-in, trạng thái này thực ra đã được áp dụng một cách ngầm định
Rất khó cải thiện phần mềm desktop, và đặc biệt người dùng Linux thường có thái độ đối nghịch với các mô thức giúp việc cải thiện trở nên khả thi
Đồng ý hoàn toàn 100%:
“Cách duy nhất để bảo đảm quyền riêng tư trong điện toán là không gửi dữ liệu ra khỏi thiết bị”
“Việc chấp nhận rủi ro xâm phạm quyền riêng tư đến mức nào phải do từng người dùng quyết định. [...] Bằng cách bật ‘tính năng’ mà không hề hỏi, Apple không tôn trọng người dùng và các lựa chọn ưu tiên của họ. Tôi chưa từng muốn iPhone của mình liên hệ máy chủ của Apple.”
Dù tính năng này được làm rối đến đâu, “an toàn” đến đâu, hay “bảo vệ quyền riêng tư” đến đâu đi nữa, sự thật rằng một thông tin nào đó phái sinh từ nội dung cá nhân được truyền đi mà không có sự đồng ý trước vẫn không thay đổi
Ngay cả khi thông tin được bảo vệ, mọi truy vấn mạng đều là thông tin. Dấu thời gian cho thấy một hành động cụ thể đã diễn ra vào một thời điểm cụ thể; chẳng hạn nếu ngay khi thêm ảnh mới mà có thứ gì đó được gửi tới dịch vụ này thì có thể lộ việc đã chụp ảnh, một địa điểm cụ thể được tương quan với thông tin vị trí vào thời điểm đó, v.v.; đó chỉ là phần nổi của tảng băng. Việc truyền thông tin từ thiết bị của người dùng mà không có sự đồng ý rõ ràng là xâm phạm quyền riêng tư
Lập luận về metadata thì tôi thấy là có thể, nhưng ngay cả ở đó cũng có nhiều giả định. Đặc biệt cần giả định rằng Apple thực ra không dùng OHTTP và đang thông đồng để tìm ra khi nào người dùng chụp ảnh. Nếu về cơ bản không tin vào toán học, tôi không biết sự bất định và nghi ngờ sẽ dừng ở đâu
Có thể dễ dàng xác nhận rằng việc đó không xảy ra ngay sau khi chụp ảnh. Thứ nhất, lưu lượng mạng sẽ cho thấy điều đó, và thực tế thì không phải vậy. Thứ hai, mã hóa đồng cấu rất tốn kém nên không thể làm theo cách đó. Photos thường không đồng bộ ngay lập tức; có thể thấy điều này từ việc hầu hết người dùng iPhone đều thấy ứng dụng Photos thông báo thời điểm đồng bộ. Các tác vụ tốn kém thường được đưa vào hàng đợi cho đến khi thiết bị cắm sạc và đang dùng Wi‑Fi
Ví dụ, tôi gửi cho bạn một bức ảnh chó con trong bồn tắm, và AirPods của cô ấy thông qua iPhone đã báo “Ai đó đã gửi ảnh chó trong bồn tắm.” Bạn tôi cũng nói tính năng đó hay, và cá nhân tôi thấy nó hữu ích. Chỉ là tôi không biết việc này cần xử lý ngoài thiết bị đến mức nào
Xét đến hai biện pháp giảm thiểu này, để lấy dữ liệu cá nhân bằng tính năng này thì trước tiên phải xâm nhập điện thoại của mục tiêu để tắt truy vấn giả, rồi tiếp đó xâm nhập bên chuyển tiếp để tương quan truy vấn với một địa chỉ IP cụ thể
Nếu làm được tất cả những việc đó thì nói thật là lãng phí công sức một cách ngớ ngẩn. Vì có thể dùng việc xâm nhập iOS để khiến thiết bị gửi trực tiếp dữ liệu vị trí. Không cần phải làm việc phiền phức là chờ mục tiêu chụp ảnh, theo dõi nhiều lần tra cứu landmark, rồi thu thập từng chút dữ liệu bổ sung cho mỗi truy vấn để cuối cùng xác định vị trí mục tiêu
Toàn bộ chuyện này làm tôi nhớ đến XKCD 538
https://machinelearning.apple.com/research/homomorphic-encry...
Tôi tự hỏi liệu đây có phải là màn khói để từ từ đưa quét CSAM trở lại sau làn sóng phản đối lần trước không. Hành vi bật mặc định trông đáng ngờ
[1] https://www.wired.com/story/apple-photo-scanning-csam-commun...
Liệu kiểu nhận dạng dấu vân tay đó có thể được giới hạn một cách đáng tin cậy chỉ ở landmark công cộng hay không là một câu hỏi thú vị, và phụ thuộc vào các chi tiết triển khai chưa rõ ràng
Ngay cả khi phần tìm kiếm người dùng nhìn thấy bị giới hạn ở “landmark”, liệu quá trình đó — dù chỉ trong thiết bị — có đang tạo sẵn dấu vân tay của rất nhiều thứ khác không? Nếu có, thì mã độc không thường trú chỉ kích hoạt trong thời gian ngắn có thể ngay lập tức tìm ra các hình ảnh cần quan tâm mà không cần quyền truy cập rộng hơn và xử lý bổ sung như vốn dĩ cần có
Chỉ mục toàn cục đương nhiên sẽ khớp cả với những dấu hiệu khác mà Apple cho là đáng khớp, dù không trả chúng về cho người dùng
Tôi nghĩ mô hình tìm landmark trong ảnh cũng có thể chạy cục bộ, nhưng chỗ này thì tôi không chắc 100%
Nếu đưa ra lý do theo hướng hoài nghi: một tính năng kỹ thuật ở quy mô này không thể được lên kế hoạch mà không có tài liệu, và những tài liệu đó chắc chắn sẽ lộ ra trước tòa
Lý do bề mặt là Apple thật sự muốn cung cấp một tính năng hữu ích cần có sự tham gia của máy chủ
Về phần nói rằng không hiểu phần lớn các chi tiết kỹ thuật trong bài blog của Apple: tôi hiểu đoạn được trích, và xin lỗi, nhưng bài này lẽ ra cũng có thể là một bài lạc quan kiểu “Hãy nhìn công nghệ mới tuyệt vời này!”
Tôi cũng ghét các thông lệ của Apple đi ngược lại tinh thần hacker theo nghĩa HN như mọi người, và vì những lý do đó tôi cũng không sở hữu thiết bị Apple nào, nhưng câu “không quan trọng họ đã giải quyết vấn đề quyền riêng tư ra sao, tôi cảm thấy nó không riêng tư” không tạo ra sự thật
Hầu hết người khác cũng không hiểu những từ được trích dẫn, và còn không chắc họ đã đọc đến đó, nên điều này trông như một lời phê bình không công bằng
Theo hiểu biết của tôi khi đó, các phép toán như SUM có thể tính tổng một danh sách số đã được mã hóa. Nhờ cách mã hóa, có thể cộng tất cả giá trị mà không cần giải mã, và kết quả vẫn ở trạng thái mã hóa để chủ sở hữu giải mã ra một con số với độ chính xác đã biết
Nếu Apple đang dùng mã hóa đồng cấu đúng cách, Apple sẽ không có cách nào xem dữ liệu nhận từ điện thoại. Những thứ khác được nhắc trong bài là các biện pháp để ngăn rò rỉ thông tin qua metadata hoặc kênh phụ
Việc tính năng này được bật mặc định thì không hay lắm. Đáng ra sau khi nâng cấp, hệ thống nên hỏi người dùng có muốn bật hay không
Với nhiều người, thẩm quyền đó không phải Apple. Tôi có thận trọng tin vào chính sách quyền riêng tư của Apple, nhưng nhiều người không tin Apple, và họ có lý do
Vì vậy, khi một tính năng Apple không opt-in chia sẻ dữ liệu cá nhân, còn phần giải thích kỹ thuật của Apple thì người dùng cũng không hiểu, cảm giác bị xâm phạm quyền riêng tư sẽ tăng lên và dẫn đến sự bất tín lớn hơn. Vậy có thể gọi đó là phê bình không công bằng không
Bài blog của tôi được viết từ góc nhìn của một người dùng Apple cảm thấy niềm tin bị phản bội. Đứng từ khoảng cách an toàn và nghĩ công nghệ này thật hay thì cũng được, và thực tế có thể đúng là hay, nhưng điều đó không liên quan đến vấn đề cốt lõi là thiếu sự đồng ý của người dùng
Với tôi, nhìn chung đây có vẻ là một tính năng hợp lý được triển khai với sự cân nhắc lớn đến quyền riêng tư của người dùng. Tuy vậy cũng có thể là tôi đang quá tin vào phần giải thích
Bài này nhìn chung giống nội dung nhằm kích động phẫn nộ, và tôi nghĩ nên cẩn thận để không bị “dắt mũi” bởi những bài như vậy trên Hacker News. Cũng giống như phải cẩn thận khi thấy các bài kích động phẫn nộ trên báo lá cải hay Facebook
Một số lo ngại trong bài hoặc trong thread này có vẻ nhiều khả năng không ảnh hưởng mấy đến doanh thu của Apple. Lo ngại thực tế mà một số khách hàng có thể có là dung lượng dữ liệu, và tôi đoán tính năng này nhiều khả năng sẽ bị tắt trong Low Data Mode
Tôi tự hỏi liệu những vấn đề kiểu này có thể được giải quyết bằng một thiết lập như mặc định quyền riêng tư hay không. Theo đó, nhà báo, nhà hoạt động, một số bộ phận IT doanh nghiệp, và những người viết các bài như bài gốc có thể chọn để khi cập nhật OS, hệ thống được đặt ở mức ít giao tiếp với mạng hơn. Có vẻ sẽ khó tạo một UI dễ hiểu. iOS đã có “Lockdown Mode”, nhưng tôi không biết nó có ảnh hưởng đến thiết lập này hay không
Dựa trên cách tính năng thể hiện trong UI thì có vẻ không phải vậy. Nếu tính năng được kích hoạt bởi hành động của người dùng, tôi tự hỏi liệu việc này cũng nên được xem là liên hệ với máy chủ hay không
Thông điệp là những thứ đó vẫn ở trong iPhone, không như cái OS khó chịu kia do công ty quảng cáo vận hành. Rằng Apple tuyệt đối không lấy dữ liệu ra ngoài, bạn không phải là sản phẩm, và Apple quan tâm đến bạn
Việc như thế này, dù xét riêng có hợp lý hay không, cũng phá sập hoàn toàn câu chuyện đó. Nếu họ sẵn sàng nói dối trắng trợn như vậy trên những biển quảng cáo khổng lồ, thì không biết họ còn sẽ làm gì nữa khi lợi ích đòi hỏi
Tôi vừa thấy một thiết lập liên quan đến tìm kiếm tương tự mà hình như trước iOS 18 không có
Vào Cài đặt -> Tìm kiếm thì có tùy chọn “Help Apple Improve Search” và nó được bật mặc định
“Cho phép Apple lưu các tìm kiếm bạn nhập trong Safari(!!), Siri, Spotlight theo cách không liên kết với bạn để giúp cải thiện Search. Tìm kiếm bao gồm các truy vấn kiến thức chung và các yêu cầu như phát nhạc, chỉ đường.”
Nếu trước đây đã có thì tức là nó đã được bật lại
Cần rất nhiều chi tiết thì tôi mới tin cách Apple lưu trữ có thể bảo vệ ổn định quyền riêng tư của tôi. Dĩ nhiên đoạn trích cũng không khẳng định như vậy
Để tham khảo, trên macOS, dịch vụ photoanalysisd chạy nền và quét ảnh ngay cả khi bạn chưa từng mở Apple Photos
Không thể vô hiệu hóa nó nếu không tắt SIP, tức System Integrity Protection (Bảo vệ toàn vẹn hệ thống), và để làm vậy cần một quy trình phức tạp gồm nhiều lần khởi động lại và vượt qua các cảnh báo. Nếu bật lại SIP thì nó sẽ được kích hoạt lại
Vì lý do nào đó, Apple có vẻ khá nhiệt tình với việc phân tích ảnh, dù người dùng có muốn hay không
Nếu mọi người chạy một trình tạo ảnh cục bộ được huấn luyện bằng ảnh của chính mình nhưng cố ý làm hỏng nhẹ, rồi dùng nó nhồi đầy bộ sưu tập hash ảnh của Apple bằng rác thì sao
Sau đó sẽ thế nào?
Đó sẽ là một tác dụng tẩy rửa rất tốt. Nhìn xem ai tức giận đến mức nào sẽ cho biết rất nhiều điều
Chuyện này làm tôi nhớ đến sự phẫn nộ thời COVID đối với hệ thống thông báo phơi nhiễm bảo toàn quyền riêng tư của Apple và Google
Việc có thể thông báo phơi nhiễm mà không theo dõi nghe có vẻ trái trực giác, nhưng công nghệ đó thực sự đã làm được
Ở đây cũng vậy, tác giả có vẻ không cố đánh giá đúng hiệu quả của các kỹ thuật như vector hóa phía client, differential privacy, relay OHTTP, mã hóa đồng hình, mà dựa vào phản ứng tức thời trước nguy cơ xâm phạm quyền riêng tư
Tuy nhiên, tôi hoàn toàn đồng ý rằng với những tính năng như thế này, Apple trước hết phải xin sự đồng ý của người dùng
Nếu ai đó gắn link mã nguồn thì tôi có thể xem chính xác nó làm gì, thay vì tin lời một người nào đó trên Internet
Tốt hơn nữa là cho phép tôi tự biên dịch
Về phần “không hiểu hầu hết chi tiết kỹ thuật trong bài blog của Apple”, tôi thì hiểu
Vector hóa phía client: xử lý ảnh cục bộ và chuẩn bị một biểu diễn vector không thể đảo ngược trước khi gửi. Hãy nghĩ đến nó như một dạng hash theo ngữ nghĩa
Differential privacy: thêm khá nhiều nhiễu vào vector trước khi gửi. Mức đủ để không thể tra ngược vector. Ở đây mức nhiễu là ε = 0.8, tức quyền riêng tư khá tốt
Relay OHTTP: dữ liệu được gửi qua bên thứ ba nên Apple không biết địa chỉ IP. Nội dung được mã hóa nên bên thứ ba cũng không học được gì. Có rủi ro lộ ra ở mức “IP X là người dùng Apple Photos”, nhưng không thể biết nội dung thư viện
Mã hóa đồng hình: thao tác truy vấn được thực hiện trên máy chủ với dữ liệu đã mã hóa. Apple không thể giải mã nội dung vector hay nội dung phản hồi, chỉ client mới có thể giải mã kết quả truy vấn
Đây là hình mẫu của một thiết kế quyền riêng tư tốt. Có nhiều lớp bảo vệ quyền riêng tư, và chỉ cần một trong ba lớp sau cũng đã đủ để bảo vệ quyền riêng tư
Về lập luận “mỗi người dùng cá nhân nên quyết định mức chấp nhận rủi ro xâm phạm quyền riêng tư của mình”, tác giả trông giống một nhà nghiên cứu bảo mật của Apple nhưng lại đang nói rằng mình không thể đưa ra lựa chọn dựa trên thông tin đầy đủ ở đây
Tôi không chắc phán đoán nào là đúng. Nhưng kết luận “vì vậy cách duy nhất để bảo đảm quyền riêng tư trong điện toán là không gửi dữ liệu ra khỏi thiết bị” là không đúng. Có những công cụ vừa cho phép dùng dịch vụ vừa cung cấp quyền riêng tư, chẳng hạn differential privacy và mã hóa đồng hình. Chúng rất phức tạp và người dùng thực tế không thể đánh giá rủi ro, nhưng nếu bạn muốn các tính năng cần bộ dữ liệu lớn hơn ổ đĩa hoặc nội dung thay đổi thường xuyên, thì cần những công cụ như vậy
Nhiều người dùng có thể đồng ý với tính năng này. Như bạn nói, nó cũng có thể rất an toàn. Nhưng vấn đề là mọi người bị mặc định xem như đã đồng ý
Người dùng không cần bằng tiến sĩ để hiểu câu “Tính năng này gửi dữ liệu về ảnh của bạn lên máy chủ Apple để cải thiện tìm kiếm”
Việc các biện pháp bảo vệ quyền riêng tư phức tạp không biện minh cho việc loại bỏ lựa chọn của người dùng. Theo logic đó thì không nên hỏi người dùng về bất kỳ tính năng kỹ thuật nào
Nhiều người dùng có ý thức cao về quyền riêng tư tuân theo một nguyên tắc đơn giản: họ muốn kiểm soát những gì rời khỏi thiết bị, bất kể cách bảo vệ là gì
Lập luận “quá phức tạp để giải thích” có thể biện minh cho bất kỳ mặc định xâm phạm quyền riêng tư nào. Bạn có áp dụng cùng tiêu chuẩn đó cho lý lẽ rằng có thể bật mặc định dịch vụ vị trí vì giải thích công nghệ GPS quá phức tạp không
Giải pháp thật sự rất đơn giản. Giải thích tính năng bằng ngôn ngữ dễ hiểu, nhấn mạnh lợi ích, tóm tắt các biện pháp bảo vệ quyền riêng tư, rồi để người dùng lựa chọn. Apple đã làm như vậy với nhiều tính năng khác. Tắt theo mặc định và opt-in là nguyên tắc cốt lõi của thiết kế tôn trọng quyền riêng tư, bất kể lớp bảo vệ bên dưới vững chắc đến đâu
Jeff Johnson phát triển ứng dụng cho các nền tảng Apple, đặc biệt là phần mở rộng Safari, và thường xuyên viết blog về những điều khó chịu với Apple, nhưng không phải là nhà nghiên cứu bảo mật