2 ポイント 投稿者 GN⁺ 2024-12-29 | 1件のコメント | WhatsAppで共有
  • iOS 18とmacOS SequoiaのPhotosにEnhanced Visual Searchが追加され、筆者のiPhoneとMacではデフォルトで有効になっていた
  • この機能は、写真内のランドマークや注目地点をAppleサーバーのグローバルインデックスと非公開で照合し、検索を支援する仕組み
  • Appleは準同型暗号、差分プライバシー、OHTTPリレーによって写真情報が分からないようにすると説明しているが、サーバー通信そのものがプライバシー保護論争の核心となっている
  • 批判の焦点はAppleの悪意ではなくソフトウェアバグの可能性にあり、Appleのセキュリティリリースノートに脆弱性が継続的に掲載されている点が根拠として挙げられている
  • macOSではLittle Snitchで通信をある程度遮断できるが、iOSには同様の選択肢がなく、利用者が自力で身を守るのは難しい

Enhanced Visual Searchのデフォルト有効化

  • iPhoneのPhotos設定にEnhanced Visual Searchという新しい項目が追加され、デフォルトで有効になっていた
  • 同じ設定はmacOS SequoiaのPhotosにも新たに追加され、Macでもデフォルトで有効になっていた
  • 筆者はスクリーンショットを撮る前にその設定を手動で無効化した

Apple文書に記された動作方式

  • AppleのPhotos & Privacy文書では、Enhanced Visual Searchにより写真をランドマークや注目地点で検索できると案内している
  • デバイスは写真内の場所をAppleサーバーのグローバルインデックスと非公開で照合する
  • Appleはプライバシー保護のために次の技術を使うと述べている
    • 準同型暗号

    • 差分プライバシー

      • IPアドレスを隠すOHTTPリレー
      • 設定はApple文書上、iOS・iPadOSではSettings > Apps > Photos、MacではPhotos > Settings > Generalで無効化できる
      • Apple Machine Learning ResearchのCombining Machine Learning and Homomorphic Encryption in the Apple Ecosystemは2024年10月24日に公開され、iOS 18とmacOS 15の一般公開日は2024年9月16日だった

プライバシー保護に対する批判

  • 批判の出発点は、利用者が求めていないのにAppleがデバイス内の体験をサーバー通信で強化した点にある
  • 筆者の基準では、計算がすべてデバイス内で完結してこそ私的であり、メーカーのサーバーへデータが送られるなら完全に私的とは言いにくい
  • Appleの実装が技術的に安全かどうかは、筆者自身も直接評価できないと述べている
  • ただしAppleのセキュリティリリースノートに脆弱性が継続的に掲載されているため、Appleのプライバシー主張をそのまま信頼しにくいと見ている
  • 悪意や陰謀がなくてもソフトウェアバグだけで利用者は脆弱になり得るし、Appleもバグのないソフトウェアを保証することはできないという批判

利用者の選択権と遮断ツール

  • 筆者はEnhanced Visual Searchに関心がないため、機能が完璧に動作するとしてもリスクを負う利益はないと見ている
  • 利用者の許可なく機能を有効にするやり方は、利用者とその選好を尊重しない行為だと批判されている
  • 「What happens on your iPhone, stays on your iPhone.」というAppleの広告文句はこの事例には当てはまらないと主張している
  • macOSではLittle SnitchによってAppleソフトウェアのリモート通信をおおむね遮断できる
  • iOSではLittle Snitchのようなツールが許可されておらず、Appleが利用者自身を守る手段を妨げているように感じられる

続報資料

1件のコメント

 
GN⁺ 2024-12-29
Hacker News のコメント
  • 望んでいるのはごく単純なことだ。明示的な意図が示されるまでは、インターネットに何も送らないソフトウェアが欲しい
    この機能をもっともらしくプライベートなものにしようとする工学的な取り組みは見事だし、こうした機能を実装すること自体も問題ではないが、必ずオプトインであるべきだ
    ソフトウェアがエンドユーザーやそのデータ、ネットワーク接続のようなリソースをベンダーの遊び場のように扱う限り、信頼は削られ続けるだろう。ローカル端末のデータが無線インターフェースの外へ予期せず漏れ出してはならず、ローカルデータがネットワークへ出ていく機能には必ずユーザーの意図が結び付いていなければならない
    Apple がなぜ単にユーザーにこの機能を有効にするか尋ねなかったのかについての皮肉な答えは、尋ねれば一部のユーザーが即座に拒否することを Apple も分かっているが、自分たちの方がそのユーザーたちよりよく分かっていると感じているからだと思う。こういう態度が嫌いだし、オプトアウト方式のテレメトリへの不満が高まっている理由も同じだと思う

    • そういう考え方が、ひどいCookie バナーを生んだ
      ほとんどのユーザーが何も考えずに「許可」を押すダイアログをさらに増やしても、問題は解決しない
      社会は事実上、第三者にデータアクセス権を渡すことを問題ないものとして受け入れてしまったのであり、そこに摩擦を追加するのは、どうせこうしたサービスを使わない 2% のために 98% を罰するようなものだ
      もっと教育された大衆であれば均衡が変わる可能性もあるが、現実はそうではなく、良いユーザー体験は現実を反映すべきだ
    • オプトインは機能しないし、そもそも機能したこともない
      圧倒的多数のユーザー、95% 以上はポップアップの意味を理解しておらず、読む能力自体がないように見え、常に承諾するか、常に拒否するか、より目立つボタンを押す
      技術業界でも専門職・管理職層でもない家族を観察し、たった今閉じたポップアップが何で、なぜ閉じたのかを尋ねてみれば、技術とプライバシーの相互作用について最良の教訓が得られる
    • iOS の写真は、かなり前から写真が撮影された住所で写真を検索できた
      そのためには写真位置の緯度・経度を取得し、人間が理解できる住所に変換する逆ジオコーディング照会が必要で、これはほぼ常にグローバルな逆ジオコーディングサービスに問い合わせる方式だ
      この機能もプライバシー侵害なのでオプトインが必要だと考えるのか気になる。そうでないなら、逆ジオコーディングサービスがランドマーク照会サービスよりプライベートである理由が分からない
    • 結果は https://chromewebstore.google.com/detail/i-still-dont-care-a... のようなものだ
      個人的には、こうしたポップアップが何らかの目的を果たしているとは思わない。結局、Web サイトが善意で行動していることを合理的に証明できないからだ。アプリがサーバーに連絡してよいか尋ねたとしても、「いいえ」を押せば実際の追跡が防がれるという保証もない
      大規模なプライバシーが、さまざまな「はい/いいえ」ボタンの組み合わせで機能すると自分に言い聞かせている様子には、いまだに驚かされる。ソフトウェアを信頼する方法は二つしかない。1. 素朴に「privacy first」とどこかに書かれているか確認する 2. 実行中のソフトウェアがどの命令を実行できるかまで理解する
      権限ポップアップには粒度も足りない。連絡先リストへのアクセスを許可するとき、実際にはどの連絡先にアクセスするのか。名前だけを許可して電話番号はブロックできるのか。オフライン処理なのかオンライン処理なのか。オンラインなら、インターネットアクセスのポップアップをさらに表示すべきなのか。そうなると、どの種類のインターネット上の行為をするのかもフィルタリングできるべきなのか。こうして掘り下げていくと、最終的にはチューリング完全な権限システムにたどり着き、そうでなければ「プライバシー」には穴が残る
    • オプトインがあっても、ベンダーはユーザーが不注意な瞬間に「はい」を押すまでしつこく迫ってくるだろう
      明らかに自分がチェックしていないチェックボックスがチェックされているのを見たこともある。こういうものはオフにして二度とオンにできないようにしたいが、ベンダーが許すはずがない。だから Linux を使っている
  • 私の無料オープンソースアプリのユーザーは、私たちが利用パターンについてまったく洞察を持っていないという事実に驚くようです
    少量の匿名テレメトリが非常に役立つ場面はありますが、手を出さないつもりです
    オプトインはデータ量が大きく減るだけでなく、選ばれたデータに大きな偏りを入れるため、データを役に立たなくします。オプトインする人たちは、おそらく「典型的なユーザー」の良い標本ではないでしょう
    オプトアウトは、どんな保護策や保証を提供しても一部のユーザーには受け入れられず、彼らはそれを強く伝えてくるでしょう
    悪意ある行為者がテレメトリを悪用しやすく、「匿名データ」が驚くほど多様な形でまったく匿名ではないと判明し得ることは理解しています。それでも「だから良いものを持てないんだ」というような残念さを感じます

    • 以前どこで見たのかは覚えていませんが、クライアント側で分析データをリングバッファのような場所に集め、設定メニューから一度だけ送信する、常に送信する、または自分でダウンロードできるようにしたサイトがありました
      エラーが発生すると、問題解決のために分析データを共有してほしいというトーストが表示され、もちろん拒否できました。おそらく私が見た中で最も良いシステムでしたが、どのサイトだったかは覚えていません
    • 核心はすべて同意に集約されます。オプトアウトがなければ同意はまったく存在せず、デフォルトがオプトアウトなら同意の質は大きく低下します。信頼だけが同意へ至る手段です
      1. 信頼を作るには、オプトイン、アンケート形式の同意、オプトアウトの三つの経路が必要です。アンケートは信頼の能動的な検証者であり、低帯域のコミュニケーションを助けます。ユーザーが初めて使うとき、またはこの機能が追加された後で次にアプリを起動したときに質問すべきです
      2. 望んでいる正確な分析情報をエンドユーザーに提供し、ユーザーも解析できるようにすべきです。共有が許可された情報を自分で評価できるようにレポートやビューを提供すれば、信頼は向上します
      3. 信頼された権限は、より多くの同意につながります。オプトインしたユーザーに対して、機能やバグの優先サポートを合わせることもできます。分析履歴やパフォーマンス情報は、直近で報告されたバグの解決に役立つ可能性があります
        Apple、Microsoft、Google などは分析共有を詳細なしに曖昧に扱い、どう使い、どう悪用できるのかも明確にしません。多くはオプトアウトすら提供していません。こうした組織を信頼してはいませんが、生活の中で関わらざるを得ません。Facebook や Twitter は使わなくてもよく、実際に使っていません。Steam のアンケートは受け入れています
        オープンソースコミュニティが恩恵を受けるはずの分析情報不足を解決するには、合意された分析標準 RFCが一歩になり得ます。双方が合意済みのコミュニケーションに同意する方式です
        私の観点では、メタデータも個人データです。ユーザーがいなければデータもメタデータも存在しません。エンドユーザーがメタデータのエントロピーなので、メタデータとデータの所有者はユーザーです
    • 統計収集をデバイス上で行い、数か月に一度、統計を見せるポップアップを出す方式は可能ではないかと思います
      どんな偏りが加わるのかはよく分かりません
      例えば「私たちはこのアプリを作っており、プライバシーを重視しています。過去1か月の利用中に収集された情報は以下の通りです。アプリ改善のためにこの情報を私たちへ送ってもよいですか?」と尋ね、収集されたデータを人間が読める形で見せる方式です
    • オプトインがなぜデータを役に立たなくするのかは自明ではありません。オプトインをどう提示するかにも関係しているかもしれません
      一般的には実行可能な解決策だと期待しています。オプトインしたグループが「典型的なユーザー」と異なるとしても、正直かつ倫理的に得られる最善のデータです。まったくデータがないよりは、確実にましではないでしょうか
      オプトインの Cookie 同意バナーを表示するすべてのウェブサイトとアプリでは、すでに暗黙的にこうした状態が適用されています
    • 人々が概してウェブ上で作る主な理由の一つがこれです
      デスクトップソフトウェアを改善するのは非常に難しく、特に Linux ユーザーは改善を可能にするパターンに敵対的な傾向があります
  • 100%完全に同意:
    「コンピューティングにおけるプライバシーを保証する唯一の方法は、データをデバイスの外に送らないことだ」
    「プライバシー侵害のリスクをどの程度受け入れるかは、個々のユーザーが決めるべきだ。[...]何も尋ねずに『機能』をオンにすることで、Appleはユーザーとその選好を尊重していない。私のiPhoneがAppleのサーバーに連絡することを望んだことはない。」
    機能がどれほど難読化されていようと、「安全」だろうと、その他「プライバシー保護」的であろうと、個人コンテンツから派生した何らかの情報が事前同意なしに送信されるという事実は変わらない。
    情報が保護されていても、すべてのネットワーク問い合わせは情報である。特定の時刻に特定の行動をしたというタイムスタンプ、例えば新しい写真を追加した直後にこのサービスへ何かが送信されるなら、写真を撮ったという事実、その時刻の位置情報と相関させた特定の場所などが明らかになり得るし、これは氷山の一角にすぎない。明示的な同意なしにユーザーのデバイスから情報を送信することはプライバシー侵害である。

    • では、Signalのメッセージも送信されるから安全ではなく、「難読化」ではデータ保護に十分ではないという意味なのか? 投稿者が引用し、後に理解していなかったと認めた、Appleが送信前にデータに対して実際に何を行うと述べているのかを読んだのか気になる。
      メタデータについての主張はあり得ると思うが、そこにも多くの仮定が入っている。特に、Appleが実際にはOHTTPを行っておらず、ユーザーがいつ写真を撮ったかを突き止めようと共謀している、という仮定が必要だ。事実上、数学を信頼しないなら、不確実性と疑念がどこで終わるのか分からない。
    • 「写真を撮るように、新しい写真を追加した直後にこのサービスへ何かが送信されると仮定すると」という前提が誤っており、その上で結論へ飛びついている。
      写真を撮った直後にすぐ起きるわけではないことは簡単に確認できる。第一に、ネットワークトラフィックがそれを示すはずだが、実際にはそうではない。第二に、準同型暗号はコストが大きく、そうはできない。Photosは通常すぐには同期せず、ほとんどのiPhoneユーザーはPhotosアプリで同期タイミングが示されるのを見れば分かる。コストの大きい処理はたいてい、デバイスが電源に接続されWi-Fi上にあるまでキューに積まれる。
    • 世界中の既知のあらゆる場所と一般的な物体のモデルを保存するには、どれほどの容量が必要なのだろうか。
      例えば、浴槽の中の犬の写真を友人に送ったら、彼女のAirPodsがiPhone経由で「誰かが浴槽の中の犬の写真を送りました」と知らせてきた。友人もすごいと言っていたし、個人的にも便利な機能だと思う。ただ、これがどの程度デバイス外での処理を必要とするのかは分からない。
    • こうした問題は、この機能の実装を扱ったAppleのブログ記事ですべて取り上げられている。リスクを下げるために2つの段階が適用される。
      1. iOSは追加の偽の問い合わせを作り、すべての問い合わせは、照会時刻によって本物の問い合わせと偽の問い合わせを区別したり、写真の撮影時点を特定したりできないようにするスケジューラを通る。
      2. すべての問い合わせはサードパーティの中継サービスを使って匿名で実行される。そのためAppleは特定の問い合わせを特定のデバイスやIPアドレスに結び付けられない。
        この2つの緩和策を考えると、この機能で個人データを得るには、まず対象のスマートフォンを侵害して偽の問い合わせを無効にし、続いて中継者を侵害して問い合わせを特定のIPアドレスと相関させる必要がある。
        そこまでできるなら、正直そんな努力の無駄遣いは愚かだ。iOSの侵害を利用して、デバイスに位置データを直接送らせればいいからだ。対象が写真を撮るのを待ち、複数のランドマーク照会を追跡し、問い合わせごとに追加データを少しずつ集めて最終的に対象の位置を特定するような面倒なことをする必要はない。
        全体としてXKCD 538を思い出させる。
        https://machinelearning.apple.com/research/homomorphic-encry...
  • これは前回の反発の後、CSAMスキャンをゆっくり再導入するための煙幕ではないかと思う。デフォルトでオンになっている挙動が怪しい。
    [1] https://www.wired.com/story/apple-photo-scanning-csam-commun...

    • まったく同じことを考えた。「巧妙な画像フィンガープリント技術はあるが、CSAM検出用途では物議を醸しすぎてリリースできなかったので、ユーザーに便利そうに見える何かに中核フローを入れ、コードが生き残り、改善され、将来の拡張に備えられるようにしよう」という感じに見える。
      そのようなフィンガープリントが公開ランドマークだけに安定して制限できるのかは興味深い問題で、明確でない実装の詳細に依存する。
      ユーザーに見える検索が「ランドマーク」に限定されていても、その過程で、デバイス内だけであっても他の多くのもののフィンガープリントを事前に作っているのか? そうだとすれば、一時的に有効化される非永続的なマルウェアが、本来必要だったはずのより広いアクセス権や追加処理なしに、関心のある画像を即座に見つけられるようになる。
    • そうだ。無害に見える「位置マッチング」という理由でサーバー連絡要素を注入するやり方だ。
      グローバルインデックスは当然、ユーザーに返さないとしても、Appleがマッチングする価値があると見る他の目印にもマッチするだろう。
    • MicrosoftがRecallで「後退」したやり方とまったく同じだ。そして結局また押し込み、削除できないようにした。
    • 自分も同じ考えだ。その技術は高価すぎるので、プライベートであることを証明するためにテストしたり動かしたりする必要があったのだと思う。
      写真からランドマークを見つけるモデルもローカルで実行できるのではないかと思うが、ここは100%確信しているわけではない。
    • 違う。Appleにほかにどんな欠点があろうと、そうは思わない。
      冷笑的な理由を挙げるなら、この規模のエンジニアリング機能は文書なしには計画できず、そうした文書は法廷で必ず明るみに出る。
      表向きの理由は、Appleがサーバーの関与を必要とする便利な機能を本気で提供したがっているからだ。
  • Appleのブログ記事の技術的詳細の大半を理解できないという点については、引用された部分は理解したし、悪いけれどこの記事は楽観的な記事にもなり得た。「この素晴らしい新技術を見て!」という感じで
    HN的な意味でのハッカーに反するAppleの慣行は他の人たちと同じくらい嫌いだし、そうした理由などからApple製デバイスも持っていないが、「プライバシー問題をどう解決したかは重要ではなく、私はプライベートではないと感じる」という言い方が事実を作るわけではない
    引用された言葉を他のほとんどの人も理解していないし、そこまで読んだかどうかも定かではないので、これは不公平な批判に見える

    • 準同型暗号は数年前に研究論文で知った
      当時の理解では、SUMのような演算で暗号化された数値リストの合計を計算できた。暗号化方式のおかげで復号せずに値をすべて足し合わせることができ、結果も暗号化されたままなので、所有者が復号すると既知の精度の数値が得られた
      Appleが準同型暗号を正しく使っているなら、Appleがスマートフォンから受け取ったデータを見る方法はないはずだ。記事で触れられている他のものは、メタデータやサイドチャネル経由の情報漏えいを防ぐための手段だ
      この機能がデフォルトでオンになっているのはあまり良くない。アップグレード後にユーザーへオンにしたいかを尋ねる機能であるべきだった
    • 核心的な批判は、同意と警告なしに私的でセンシティブなデータをAppleへ送ることだ
    • 理解していないものをどうやって信頼できるのか。結局、そうした問題を分かっていると信じる誰かや組織、つまり権威から信頼が来るしかない
      多くの人にとって、その権威はAppleではない。Appleのプライバシーポリシーを慎重に信頼してはいるが、多くの人はAppleを信頼しておらず、それには理由がある
      だから、オプトインしていないAppleの機能が個人データを共有し、Appleの技術説明も理解できないとなると、プライバシーを侵害されたという感覚が強まり、それがさらに大きな不信につながる。それでも不公平な批判と言えるだろうか
    • Apple製デバイスも持っていないのに、利害関係のある人を批判しているのか
      私のブログ記事は、信頼を裏切られたAppleユーザーの視点で書いたものだ。安全な距離から技術が素晴らしいと思うのはよいし、実際そうかもしれないが、核心的な問題であるユーザー同意の欠如とは無関係だ
  • 私には全体として、ユーザープライバシーを大きく考慮して実装された妥当な機能に見える。ただし、説明を信じすぎているのかもしれない
    この記事は全体として怒りを誘うためのものに見え、Hacker Newsに上がるこうした記事に「釣られ」ないよう注意すべきだと思う。タブロイド紙やFacebookに怒りを誘う記事が出てくるときに注意すべきなのと似ている
    記事やこのスレッドの一部の懸念は、Appleの収益にはほとんど影響しない可能性が高そうだ。実際に一部の顧客が抱き得る懸念はデータ使用量だろうが、低データモードではこの機能はオフになる可能性が高いと推測する
    この種の問題は、プライバシーのデフォルトのような設定で解決できるのか気になる。記者、活動家、一部の企業IT部門、元記事のような文章を書く人たちが、OSアップデート時にネットワークとの通信を少なくする値に設定されるよう選べる方式だ。分かりやすいUIを作るのは難しそうだ。iOSにはすでに「ロックダウンモード」があるが、この設定に影響するかは分からない

    • Appleがすべきだったのは、文字どおりデフォルトでオンにしないことだけだった。尋ねもせずにネットワークへ何かを送ることは、Appleへの信頼をますます減らす
    • 妥当な機能ではあるが、それでもユーザーのオプトインが必要だ。面倒を減らすために、インストール時やアップグレード時にオプトイン項目をまとめて尋ねることはできる
    • 特に明確でないのは、iOSがスマートフォン内の全データをスキャンし、公開インデックスの一部として送っているのかどうかだ
      UIで見える機能の動作方式からすると、そうではなさそうだ。ユーザーの行動によって機能が有効化されるなら、これもサーバーへの連絡と見るべきなのか気になる
    • 他社がやったなら、おそらく妥当な機能を妥当に作ったものだと見なせる。問題は、Appleがこうしたことをしないと宣伝するために数千万から数億ドルを費やしてきた点だ
      そうしたものは、広告会社が運営するあの不快な別のOSとは違い、iPhoneの中にとどまるという話だった。Appleは絶対にデータを持ち出さず、あなたは商品ではなく、Appleはあなたを大切にしている、という話だ
      こうしたことは、単独で見て妥当かどうかにかかわらず、その物語を完全に崩してしまう。巨大な広告看板でこれほど露骨に嘘をつく意思があるなら、利益が求めるときに他に何をするか分からない
  • iOS 18以前にはなかったような、似た検索関連の設定をたった今見た気がする
    設定 -> 検索に入ると「Help Apple Improve Search」というオプションがあり、デフォルトでオンになっている
    「AppleがSafari(!!)、Siri、Spotlightに入力した検索を、あなたと結び付かない形で保存することを許可して、Searchの改善を支援します。検索には一般知識の問い合わせや、音楽再生、経路案内のようなリクエストが含まれます。」
    以前からあったのなら、再びオンになったということだ

    • 「Safariに入力した検索を [...] あなたと結び付かない形で保存」するという部分は、すでに10年前の非匿名化研究を見るだけでも、検索履歴がユーザーを完全に明らかにすることは明白だった
      Appleの保存方式が私のプライバシーを安定して保護すると信じるには、多くの詳細が必要だ。もちろん引用文はそこまで主張してはいない
    • これは元記事よりさらに深刻だ。Appleはどんな別の宇宙に住んでいて、同意なしに人々の検索履歴収集をデフォルトにしてもよいと考えているのだろうか
    • くそ、その通りだ。自分のデバイスでもデフォルトでオンになっていたし、私がこれに同意したはずはないと思う
    • その通り。これもデフォルトでオンになっている別の設定だ
  • 参考までに、macOS では photoanalysisd サービスがバックグラウンドで実行され、Apple Photosを一度も開いていなくても写真を見て回る
    SIP、つまりシステム整合性保護をオフにしない限り無効化できず、そのためには何度も再起動して警告を通過する複雑な手順が必要になる。SIPを再びオンにするとまた有効化される
    Appleはどういうわけか、ユーザーが望むかどうかにかかわらず写真解析にかなり熱心なようだ

    • SpotlightもMac上のすべてのファイルを見て回っていると知ったら驚くかもしれない
    • それでもそれはMac上でローカル実行されているのではないか
    • 理論上、CSAMはすでに何らかのローカルサービスの一部である可能性もある。デバイスに紐づいたアカウントが必要になった時点でプライバシーは終わっている。iCloudだけでなく、デバイス自体に紐づいたアカウントのことだ。Linuxコンピューターを使うのにアカウントは不要だ
    • サーバーに連絡しているのか? 自分のファイルをスキャンするのは構わない。自分の私的データの詳細がデバイスの外へ出ていくことが気になる
    • 「Appleはどういうわけか、ユーザーが望むかどうかにかかわらず写真解析にかなり熱心なようだ」という部分は、エンドユーザーが汚染させたら脆弱ではないだろうか
      皆が自分の写真で学習したローカル画像生成器を動かし、少し壊したうえで、Appleの写真ハッシュ収集をゴミでいっぱいにしたらどうなるだろう
      その次は?
      とても良い洗浄作用になるはずだ。誰がどれだけ怒るかを見れば多くのことが分かる
  • この件は、コロナ禍におけるAppleとGoogleのプライバシー保護型曝露通知システムへの怒りを思い出させる
    追跡せずに曝露を通知できるというのは直感に反するが、実際にその技術がそれを可能にした
    ここでも筆者は、クライアント側ベクトル化、差分プライバシー、OHTTPリレー、準同型暗号といった技術の効果をきちんと評価しようとせず、プライバシー侵害への即座の反応に頼っているように見える
    ただし、このような機能についてはAppleがまずユーザーの同意を求めるべきだという点には100%同意する

    • これらの技術のプライバシーを評価してみたい
      誰かがソースコードへのリンクを貼ってくれれば、インターネット上の誰かの言葉を信じるのではなく、正確に何をしているのかを見ることができる
      さらに良いのは、自分でコンパイルできるようにしてくれることだ
    • あのCOVID機能はオプトインだった。今回、筆者が不満を述べているのはオプトインがない点だ
  • 「Appleのブログ記事の技術的詳細の大半を理解していない」という部分については、私は理解している
    クライアント側ベクトル化: 写真をローカルで処理し、送信する前に不可逆なベクトル表現を用意する。意味ベースのハッシュを思い浮かべればよい
    差分プライバシー: 送信前にベクトルへかなり多くのノイズを加える。ベクトルの逆引きが不可能になる程度に十分な水準だ。ここでのノイズ水準は ε = 0.8 で、プライバシーはかなり良いほうだ
    OHTTPリレー: 第三者を経由して送信されるため、AppleはIPアドレスを知ることができない。内容は暗号化されているので第三者も何も学べない。「IP XがApple Photosユーザーである」程度が漏れるリスクはあるが、ライブラリの内容は分からない
    準同型暗号: 検索処理は暗号化されたデータのままサーバー上で実行される。Appleはベクトルの内容や応答内容を復号できず、クライアントだけが検索結果を復号できる
    これは良いプライバシー設計の姿だ。プライバシー保護が何層にも重なっており、後ろの3つのうち1つだけでもプライバシー保護には十分なはずだ
    「プライバシー侵害リスクに対する各自の許容水準は個々のユーザーが決めるべきだ」という主張について、筆者はAppleのセキュリティ研究者のように見えるにもかかわらず、ここでは情報に基づいた選択ができないと言っていることになる
    何が正しい判断なのかは確かではない。だが「したがってコンピューティングにおけるプライバシーを保証する唯一の方法は、データをデバイスの外に送らないことだ」という結論は事実ではない。サービスを使いながらもプライバシーを提供する道具、たとえば差分プライバシーや準同型暗号がある。非常に複雑で、ユーザーが現実的にリスクを評価することはできないが、ディスクより大きなデータセットや頻繁に変わるコンテンツが必要な機能を望むなら、こうした道具が必要になる

    • 説明はありがたいが、核心的な問題に触れていないように思う。自分のデータがデフォルトで、妥当な告知もなくデバイスの外へ送られているという点だ
      多くのユーザーはこうした機能に同意するかもしれない。言うとおり非常に安全なのかもしれない。だが全員がデフォルトで同意したものと見なされるべきだという点が問題なのだ
    • 「良いプライバシー設計の姿」とは、自分の写真が明示的なオプトイン権限なしに、いかなる形でもどこにも送られないことだ
    • 「完璧なユーザー理解」と「ユーザーの選択権なし」の間にある偽の二択を提示している。争点は、ユーザーが準同型暗号や差分プライバシーを完全に理解できるかではなく、基本的な同意と透明性
      ユーザーは「この機能は、より良い検索のために写真に関するデータをAppleサーバーへ送信します」と理解するのに博士号は必要ない
      プライバシー保護が複雑であることは、ユーザーの選択権を取り除く正当化にはならない。その論理なら、どんな技術機能についてもユーザーに尋ねてはいけないことになる
      プライバシー意識の高い多くのユーザーは単純な原則に従っている。保護方式にかかわらず、デバイスの外へ何が出ていくのかを制御したいということだ
      「説明するには複雑すぎる」という主張は、どんなプライバシー侵害的なデフォルト設定も正当化できてしまう。GPS技術の説明が複雑すぎるから位置情報サービスをデフォルトでオンにしてよい、という論理にも同じ基準を適用するのか
      本当の解決策は単純だ。機能を平易な言葉で説明し、利点を強調し、プライバシー保護措置を概説したうえで、ユーザーに選ばせればよい。Appleはすでに他の多くの機能でそうしている。デフォルトオフとオプトインは、下層の保護がどれほど堅牢であっても、プライバシー尊重設計の核心的原則だ
    • 良いプライバシー設計とは、実際にはいかなる情報も、誰にも、どこにも、いつであっても送らない姿だ
    • 筆者はAppleのセキュリティ研究者ではない
      Jeff JohnsonはAppleプラットフォーム向けアプリ、とりわけSafari拡張機能を開発し、Appleへの不満をよくブログに書いているが、セキュリティ研究者ではない