2 puan yazan GN⁺ 2024-12-29 | 1 yorum | WhatsApp'ta paylaş
  • iOS 18 ve macOS Sequoia’daki Photos’a Enhanced Visual Search eklendi ve yazarın iPhone’u ile Mac’inde varsayılan olarak açık durumdaydı
  • Bu özellik, fotoğraflardaki önemli yapıları ve ilgi çekici noktaları Apple sunucularındaki küresel indeksle gizli biçimde eşleştirerek aramaya yardımcı oluyor
  • Apple, homomorfik şifreleme, diferansiyel gizlilik ve OHTTP relay ile fotoğraf bilgilerini bilemeyeceğini açıklıyor; ancak sunucu iletişiminin kendisi gizlilik tartışmasının odağı haline geliyor
  • Eleştirinin odağı Apple’ın kötü niyeti değil, yazılım hatası olasılığı; Apple güvenlik sürüm notlarında güvenlik açıklarının sürekli yer alması buna dayanak olarak gösteriliyor
  • macOS’te Little Snitch ile iletişimi bir ölçüde engellemek mümkün, ancak iOS’te aynı seçenek olmadığı için kullanıcıların kendilerini koruması zor

Enhanced Visual Search’ün varsayılan olarak etkin olması

  • iPhone’un Photos ayarlarına Enhanced Visual Search adlı yeni bir seçenek eklendi ve varsayılan olarak etkin durumdaydı
  • Aynı ayar macOS Sequoia’daki Photos’a da yeni eklendi ve Mac’te de varsayılan olarak açıktı
  • Yazar, ekran görüntüsü almadan önce bu ayarı elle devre dışı bıraktı

Apple belgelerinde anlatılan çalışma biçimi

  • Apple’ın Photos & Privacy belgesi, Enhanced Visual Search’ün fotoğrafları önemli yapılar veya ilgi çekici noktalar üzerinden aramayı mümkün kıldığını belirtiyor
  • Cihaz, fotoğraftaki yerleri Apple sunucularındaki küresel indeks ile gizli biçimde eşleştiriyor
  • Apple, kişisel verilerin korunması için şu teknolojileri kullandığını söylüyor
    • Homomorfik şifreleme

    • Diferansiyel gizlilik

      • IP adresini gizleyen OHTTP relay
      • Apple belgelerine göre ayar iOS ve iPadOS’te Settings > Apps > Photos, Mac’te ise Photos > Settings > General üzerinden kapatılabiliyor
      • Apple Machine Learning Research’ün Combining Machine Learning and Homomorphic Encryption in the Apple Ecosystem makalesi 24 Ekim 2024’te yayımlandı; iOS 18 ve macOS 15’in genel kullanıma sunulma tarihi ise 16 Eylül 2024’tü

Gizlilik konusundaki eleştiriler

  • Eleştirinin çıkış noktası, kullanıcı istemediği halde Apple’ın cihaz içi deneyimi sunucu iletişimiyle güçlendirmiş olması
  • Yazara göre bir işlemin özel sayılabilmesi için tüm hesaplamanın cihaz içinde tamamlanması gerekir; veri üreticinin sunucularına çıkıyorsa bunu tamamen özel görmek zordur
  • Yazar, Apple’ın uygulamasının teknik olarak güvenli olup olmadığını kendisinin doğrudan değerlendiremeyeceğini belirtiyor
  • Ancak Apple’ın güvenlik sürüm notlarında güvenlik açıklarının sürekli yayımlanması nedeniyle, Apple’ın gizlilik iddialarına olduğu gibi güvenmenin zor olduğunu düşünüyor
  • Kötü niyet veya komplo olmasa bile yalnızca yazılım hataları kullanıcıları savunmasız bırakabilir; eleştiri, Apple’ın hatasız yazılımı garanti edemeyeceği yönünde

Kullanıcı tercihi ve engelleme araçları

  • Yazar Enhanced Visual Search ile ilgilenmediği için, özellik kusursuz çalışsa bile riske değecek bir fayda görmüyor
  • Özelliği kullanıcının izni olmadan açma biçimi, kullanıcıya ve tercihlerine saygı göstermeyen bir davranış olarak eleştiriliyor
  • Apple’ın “What happens on your iPhone, stays on your iPhone.” reklam sloganının bu örnekle uyuşmadığı savunuluyor
  • macOS’te Little Snitch ile Apple yazılımının uzaktan iletişimi genel olarak engellenebiliyor
  • iOS’te Little Snitch benzeri araçlara izin verilmediğinden, Apple’ın kullanıcıların kendilerini korumasını engellediği hissediliyor

Takip kaynakları

1 yorum

 
GN⁺ 2024-12-29
Hacker News görüşleri
  • İstenen şey çok basit: açık bir niyet ortaya konmadan önce internet üzerinden hiçbir şey göndermeyen bir yazılım istiyorum
    Bu özelliği makul biçimde mahrem kılmaya yönelik mühendislik çalışması etkileyici ve böyle bir özelliği uygulamanın kendisi de sorun değil, ancak kesinlikle opt-in olmalı
    Yazılım, son kullanıcıyı ve onların verileri ile ağ bağlantısı gibi kaynaklarını satıcının oyun alanı gibi gördüğü sürece güven aşınmaya devam edecek. Yerel cihaz verileri kablosuz arayüzün dışına beklenmedik şekilde sızmamalı ve yerel verilerin ağa çıkmasını sağlayan özellikler mutlaka kullanıcı niyetine bağlı olmalı
    Apple'ın neden kullanıcıya bu özelliği açmak isteyip istemediğini sormadığına dair alaycı cevap şu olurdu: sorarsa bazı kullanıcıların bunu hemen reddedeceğini Apple da biliyor, ama kendilerinin o kullanıcılardan daha iyi bildiğini düşünüyor. Bu tavırdan hoşlanmıyorum ve opt-out telemetriye yönelik tepkinin büyüme nedeni de bence aynı

    • Bu düşünce tarzı korkunç çerez banner'larını doğurdu
      Kullanıcıların çoğunun düşünmeden “kabul et”e basacağı diyalog kutularını çoğaltmak sorunu çözmez
      Toplum fiilen üçüncü taraflara veri erişimi vermeyi kabul edilebilir saydı ve buraya sürtünme eklemek, zaten bu hizmetleri kullanmayacak %2 için %98'i cezalandırmak anlamına geliyor
      Daha eğitimli bir kamuoyunda denge değişebilirdi, ama gerçeklik böyle değil ve iyi kullanıcı deneyimi gerçekliği yansıtmalı
    • Opt-in işe yaramıyor ve aslında hiçbir zaman da yaramadı
      Kullanıcıların ezici çoğunluğu, %95'ten fazlası, açılır pencerenin ne anlama geldiğini anlamıyor; hatta okuyamadıkları bile düşünülebilir; her zaman kabul ediyorlar, her zaman reddediyorlar ya da daha dikkat çekici düğmeye basıyorlar
      Teknoloji sektöründe ya da profesyonel yönetici sınıfında olmayan aile üyelerini gözlemleyin; az önce kapattıkları açılır pencerenin ne olduğunu ve neden kapattıklarını sorun, teknoloji ile mahremiyetin etkileşimi hakkında alabileceğiniz en iyi ders bu olur
    • iOS Fotoğraflar uzun zamandır fotoğrafın çekildiği adrese göre fotoğraf arayabiliyordu
      Bunun için fotoğraf konumunun enlem/boylamını alıp bunu insanların anlayabileceği bir adrese çeviren bir ters jeokodlama sorgusu gerekir ve bu neredeyse her zaman küresel bir ters jeokodlama hizmetine sorgu göndermek anlamına gelir
      Bunun da mahremiyet ihlali olduğu ve opt-in gerektirdiği düşünülüyor mu merak ediyorum. Eğer düşünülmüyorsa, ters jeokodlama hizmetinin bir landmark sorgulama hizmetinden neden daha mahrem olduğunu anlamıyorum
    • Sonuç https://chromewebstore.google.com/detail/i-still-dont-care-a... gibi bir şey oluyor
      Ben şahsen bu tür açılır pencerelerin herhangi bir amaca hizmet ettiğine inanmıyorum. Sonuçta bir web sitesinin iyi niyetle davrandığını makul biçimde kanıtlamak mümkün değil. Bir uygulama sunucusuna bağlanabilir mi diye sormak, “hayır”a basıldığında gerçek takibin engelleneceğini garanti etmez
      Büyük ölçekli mahremiyetin çeşitli evet/hayır düğmesi kombinasyonlarıyla çalışacağına insanların kendilerini ikna etmeye devam etmesi bana hâlâ şaşırtıcı geliyor. Yazılıma güvenmenin sadece iki yolu var: 1. safça gidip bir yerde “privacy first” yazıp yazmadığına bakmak 2. çalışan yazılımın hangi komutları çalıştırabileceğine kadar anlamak
      İzin açılır pencereleri ayrıntı düzeyi açısından da yetersiz. Kişi listesine erişim verirken gerçekte hangi kişilere erişiliyor? Sadece isimlere izin verip telefon numaralarını engelleyebilir misiniz? İşleme çevrimdışı mı çevrimiçi mi yapılıyor? Çevrimiçiyse ayrıca bir internet erişimi açılır penceresi daha mı göstermeli? O zaman hangi tür internet davranışlarının yapılabildiğini de filtrelemek gerekir mi? Bu çizgiyi aşağı doğru götürürseniz sonunda Turing-tam bir izin sistemine ulaşırsınız; aksi halde “mahremiyet”te delikler kalır
    • Opt-in olsa bile satıcılar, kullanıcı dalgın bir anda “evet”e basana kadar rahatsız etmeyi sürdürecek
      Hatta işaretlemediğim kutuların işaretlenmiş olduğunu gördüğüm de oldu. Bunları kapatıp bir daha asla açılamayacak hale getirmek isterdim ama satıcıların buna izin vermeyeceği açık. Bu yüzden Linux kullanıyorum
  • Ücretsiz açık kaynak uygulamamın kullanıcıları, kullanım kalıpları hakkında hiçbir içgörüye sahip olmadığımıza şaşırıyor gibi görünüyor
    Az miktarda anonim telemetri çok yardımcı olabileceği durumlar var, ama buna el sürmeyi düşünmüyorum
    Opt-in yalnızca veri miktarını ciddi biçimde azaltmakla kalmıyor, seçilen verilere büyük bir yanlılık da ekleyerek veriyi işe yaramaz hale getiriyor. Opt-in yapacak kişiler muhtemelen “tipik kullanıcı” için iyi bir örneklem değildir
    Opt-out ise, hangi koruma önlemleri veya güvenceler sağlanırsa sağlansın bazı kullanıcılar için kabul edilemez ve bunu güçlü biçimde dile getirirler
    Kötü niyetli aktörlerin telemetriyi kötüye kullanmasının kolay olduğunu ve “anonim veri”nin şaşırtıcı derecede çok şekilde aslında hiç de anonim olmadığının ortaya çıkabildiğini anlıyorum. Yine de bu, “işte bu yüzden güzel şeylere sahip olamıyoruz” dedirten türden bir hayal kırıklığı yaratıyor

    • Bunu daha önce nerede gördüğümü hatırlamıyorum ama, istemci tarafında analiz verilerini circular buffer benzeri bir yerde toplayan ve ayarlar menüsünde bir kerelik gönderme, her zaman gönderme ya da veriyi elle indirme seçenekleri sunan bir site vardı
      Bir hata oluştuğunda, sorunu çözmeye yardımcı olması için analiz verilerini paylaşmayı isteyen bir toast çıkıyordu; elbette reddetmek de mümkündü. Muhtemelen gördüğüm en iyi sistemdi ama hangi site olduğunu hatırlamıyorum
    • Temel mesele tamamen rıza etrafında dönüyor. Opt-out yoksa rıza tamamen yoktur ve varsayılan opt-out ise rızanın niteliği ciddi biçimde düşer. Rızaya giden tek yol güvendir
      1. Güven oluşturmak için opt-in, anket tarzı rıza ve opt-out olmak üzere üç kola ihtiyaç var. Anket, güvenin etkin bir doğrulayıcısıdır ve düşük bant genişlikli iletişime yardımcı olur. Kullanıcıya ilk kullanımda ya da bu özellik eklendikten sonra uygulamayı bir sonraki açışında sorulmalı
      2. İstenen tam analiz bilgisini son kullanıcıya da verip onun da ayrıştırabilmesini sağlamak gerekir. Paylaşılmasına izin verilen bilgiyi kendisinin değerlendirebilmesi için rapor ya da görünüm sunmak güveni artırır
      3. Kazanılmış güven, daha fazla rızaya yol açar. Opt-in yapan kullanıcılara özellikler ve hatalar konusunda öncelikli destek de verilebilir. Analiz geçmişi ve performans bilgisi, az önce bildirilen bir hatayı çözmeye yardımcı olabilir
        Apple, Microsoft, Google ve diğerleri analiz paylaşımını ayrıntı vermeden muğlak biçimde ele alıyor; bunun nasıl kullanılabileceğini ve kötüye kullanılabileceğini de açıkça belirtmiyorlar. Çoğu opt-out bile sunmuyor. Bu kuruluşlara güvenmiyorum ama hayatın içinde onlarla karşılaşmak zorundayım. Facebook ya da Twitter kullanmak zorunda değilim, nitekim kullanmıyorum da. Steam anketini ise kabul ediyorum
        Açık kaynak topluluğunun fayda görebileceği analiz bilgisi eksikliğini gidermek için üzerinde uzlaşılmış bir analiz standardı RFC bir adım olabilir. Bu, iki tarafın da üzerinde anlaşılmış bir iletişim biçimine rıza göstermesi demek
        Benim bakış açıma göre metadata da kişisel veridir. Kullanıcı yoksa ne veri ne de metadata vardır. Son kullanıcı metadata'nın entropisi olduğundan, metadata'nın da verinin de sahibi kullanıcıdır
    • İstatistik toplamanın cihaz üzerinde yapıldığı ve birkaç ayda bir bu istatistikleri gösteren bir açılır pencere çıkarıldığı bir yaklaşım mümkün olmaz mı diye düşünüyorum
      Bunun ne tür bir yanlılık ekleyeceğini pek bilmiyorum
      Örneğin, “Bu uygulamayı biz yaptık ve gizliliğe önem veriyoruz. Son bir ayda kullanım sırasında toplanan bilgiler şunlar. Uygulamayı iyileştirmek için bunları bize gönderebilir miyiz?” diye sorulabilir ve toplanan veri insanın okuyabileceği bir biçimde gösterilebilir
    • Opt-in'in veriyi neden işe yaramaz hale getirdiği o kadar da açık değil. Bunun, opt-in'in nasıl sunulduğuyla da ilgisi olabilir
      Genel olarak bunun uygulanabilir bir çözüm olmasını beklerim. Opt-in grubu “tipik kullanıcı”dan farklı olsa bile, dürüst ve etik biçimde elde edilebilecek en iyi veri budur. Hiç veri olmamasından kesinlikle daha iyi olmaz mı
      Opt-in çerez onay banner'ı gösteren tüm web siteleri ve uygulamalarda bu durum zaten örtük olarak geçerli
    • İnsanların çoğunlukla web üzerinde bir şeyler üretmesinin başlıca nedenlerinden biri de bu
      Masaüstü yazılımını iyileştirmek çok zor ve özellikle Linux kullanıcıları, iyileştirmeyi mümkün kılan kalıplara karşı düşmanca olma eğiliminde
  • %100 tamamen katılıyorum:
    “Hesaplama gizliliğini garanti etmenin tek yolu, veriyi cihazın dışına göndermemektir”
    “Gizlilik ihlali riskini ne ölçüde göze alacağına her kullanıcı kendisi karar vermelidir. [...] Sormadan bir ‘özelliği’ açarak Apple, kullanıcıya ve onun tercihlerine saygı göstermiyor. iPhone’umun Apple’ın sunucularıyla iletişime geçmesini hiç istemedim.”
    Özelliğin ne kadar gizlenmiş, “güvenli” ya da başka türlü “gizliliği koruyan” olduğu fark etmiyor; kişisel içerikten türetilen herhangi bir bilginin önceden onay alınmadan gönderildiği gerçeği değişmiyor
    Bilgi korunuyor olsa bile tüm ağ sorguları da bilgidir. Belirli bir zamanda belirli bir eylemde bulunulduğuna dair zaman damgası; örneğin yeni bir fotoğraf eklenir eklenmez bu servise bir şey gönderiliyorsa, fotoğraf çekildiği gerçeği ve bunun o andaki konum verisiyle ilişkilendirilmesiyle belirli bir yer gibi şeyler açığa çıkabilir ve bu buzdağının sadece görünen kısmı. Açık rıza olmadan kullanıcının cihazından bilgi göndermek gizlilik ihlalidir

    • O zaman Signal mesajları da iletildiği için güvenli değil mi demek oluyor bu ve “gizleme” veriyi korumak için yeterli değil mi? Yazarın alıntıladığı ve sonra da anlamadığını kabul ettiği, Apple’ın göndermeden önce veriye gerçekte ne yaptığını söylediği kısmı okuyup okumadığını merak ediyorum
      Metadata iddiasının mümkün olduğunu düşünüyorum, ama orada da birçok varsayım var. Özellikle Apple’ın gerçekten OHTTP kullanmadığı ve kullanıcının ne zaman fotoğraf çektiğini öğrenmek için işbirliği yaptığı varsayımını gerektiriyor. Açıkçası matematiğe güvenmiyorsanız, belirsizlik ve şüphenin nerede biteceğini bilmiyorum
    • “Fotoğraf çekmek gibi, yeni bir fotoğraf eklenir eklenmez bu servise bir şey gönderildiğini varsayarsak” öncülü yanlış ve oradan sonuca atlanmış
      Bunun fotoğraf çekildikten hemen sonra gerçekleşmediğini doğrulamak kolay. Birincisi, ağ trafiği bunu gösterirdi ve gerçekte öyle değil. İkincisi, homomorfik şifreleme çok maliyetli olduğu için bunu yapamaz. Photos genelde anında senkronize olmuyor; çoğu iPhone kullanıcısının Photos uygulamasında senkronizasyon zamanının bildirildiğini görmesinden de bu anlaşılıyor. Maliyetli işler genellikle cihaz şarja takılıp Wi-Fi’a bağlanana kadar kuyrukta bekletiliyor
    • Dünyadaki bilinen tüm konumları ve yaygın nesne modellerini depolamak için ne kadar alan gerekir
      Örneğin küvetteki bir köpeğin fotoğrafını arkadaşıma gönderdim ve onun AirPods’u iPhone üzerinden “biri küvette bir köpek fotoğrafı gönderdi” diye bildirdi. Arkadaşım da bunun harika olduğunu söyledi, ben de kişisel olarak faydalı bir özellik olduğunu düşünüyorum. Yine de bunun ne ölçüde cihaz dışı işlem gerektirdiğini bilmiyorum
    • Bu meselelerin hepsi, Apple’ın bu özelliğin nasıl uygulandığını anlattığı blog yazısında ele alınıyor. Riski azaltmak için iki adım uygulanıyor
      1. iOS ek sahte sorgular oluşturuyor ve tüm sorgular, sorgu zamanına bakarak gerçek ve sahte sorguların ayırt edilmesini ya da fotoğrafın çekildiği anın tespit edilmesini engelleyen bir zamanlayıcıdan geçiriliyor
      2. Tüm sorgular üçüncü taraf bir aktarma hizmeti kullanılarak anonim biçimde gerçekleştiriliyor. Bu nedenle Apple, belirli bir sorguyu belirli bir cihaz ya da IP adresiyle ilişkilendiremiyor
        Bu iki azaltma önlemi hesaba katılırsa, bu özellikle kişisel veri elde etmek için önce hedefin telefonunu ele geçirip sahte sorguları kapatmak, ardından da sorguları belirli bir IP adresiyle ilişkilendirmek için aktarıcıyı ele geçirmek gerekir
        Bütün bunları yapabiliyorsanız, açıkçası böyle bir çaba israfı aptallık olur. Çünkü iOS açığını kullanıp cihazın konum verisini doğrudan göndermesini sağlayabilirsiniz. Hedefin fotoğraf çekmesini beklemenize, çeşitli landmark sorgularını izlemenize ve her sorguda biraz daha veri toplayıp sonunda hedefin konumunu belirlemeye çalışmanıza gerek kalmaz
        Bu bütün olarak XKCD 538’i hatırlatıyor
        https://machinelearning.apple.com/research/homomorphic-encry...
  • Bu, geçen seferki tepkinin ardından CSAM taramasını yavaş yavaş geri getirmek için bir sis perdesi değil mi diye düşünüyorum. Varsayılan olarak açık olması şüpheli bir davranış
    [1] https://www.wired.com/story/apple-photo-scanning-csam-commun...

    • Ben de tam olarak aynı şeyi düşündüm. “Elimizde kurnaz bir görüntü parmak izi çıkarma teknolojisi var ama CSAM tespiti için fazla tartışmalı olduğu için yayımlayamadık; o yüzden kullanıcıya faydalı görünen bir şeye temel akışı yerleştirelim ki kod hayatta kalsın, gelişsin ve ileride genişletilmeye hazır olsun” gibi görünüyor
      Böyle bir parmak izi çıkarma işleminin yalnızca herkese açık landmarklarla güvenilir biçimde sınırlanıp sınırlanamayacağı ilginç bir soru ve bu, net olmayan uygulama ayrıntılarına bağlı
      Kullanıcının gördüğü arama ‘landmark’larla sınırlı olsa bile, bu süreç cihaz üzerinde de olsa daha pek çok şeyin parmak izini önceden çıkarıyor mu? Eğer öyleyse, kısa süreliğine etkin olan kalıcı olmayan bir kötü amaçlı yazılım, normalde gerekecek daha geniş erişim izinleri ve ek işlem olmadan ilgilenilen görselleri anında bulabilir
    • Evet. Zararsız görünen “konum eşleştirme” bahanesiyle sunucu iletişimi unsuru eklemenin bir yolu bu
      Küresel indeks, kullanıcıya geri döndürülmese bile, Apple’ın eşleştirmeye değer gördüğü başka işaretlerle de elbette eşleştirilecektir
    • Microsoft’un Recall’da “geri adım attığı” yöntemle tamamen aynı. Sonra da sonunda yeniden dayatıp silinemez hale getirdiler
    • Ben de aynı şeyi düşünüyorum. Teknoloji o kadar pahalı ki, özel olduğunu kanıtlamak için test etmeleri ya da çalıştırmaları gerekiyormuş gibi geliyor
      Fotoğraflarda landmark bulan model de yerelde çalıştırılabilir gibi geliyor ama burada %100 emin değilim
    • Hayır. Apple’ın başka kusurları ne olursa olsun, bunun böyle olduğunu sanmıyorum
      Alaycı gerekçeyle söylersem, bu ölçekte bir mühendislik özelliği dokümantasyon olmadan planlanamaz ve böyle belgeler mahkemede mutlaka ortaya çıkar
      Görünürdeki gerekçe ise Apple’ın gerçekten sunucu katılımı gerektiren faydalı bir özellik sunmak istemesi
  • Apple’ın blog yazısındaki teknik ayrıntıların çoğunu anlamadığım kısmına gelirsek, alıntılanan bölümü anladım ve üzgünüm ama bu yazı iyimser bir yazı da olabilirdi. “Şu harika yeni teknolojiye bak!” gibi
    HN anlamındaki hacker’a ters düşen Apple uygulamalarından en az başkaları kadar nefret ediyorum ve bu gibi nedenlerle Apple cihazım da yok, ama “gizlilik sorununu nasıl çözdükleri önemli değil ve ben bunun özel olmadığı hissine kapılıyorum” demek gerçeği değiştirmez
    Alıntılanan kelimeleri diğer insanların çoğu da anlamıyor ve o noktaya kadar okumuş olmaları bile kesin değil; bu yüzden bu bana haksız bir eleştiri gibi görünüyor

    • Homomorfik şifrelemeyi birkaç yıl önce araştırma makaleleri sayesinde duymuştum
      O zamanki anlayışıma göre SUM gibi işlemler, şifrelenmiş sayıların listesinin toplamını hesaplayabiliyordu. Şifreleme yöntemi sayesinde değerler çözülmeden hepsi toplanabiliyor ve sonuç da şifreli kaldığı için sahibi bunu çözdüğünde, doğruluğu bilinen bir sayı elde edebiliyordu
      Apple homomorfik şifrelemeyi doğru kullanıyorsa, telefondan aldığı veriyi Apple’ın görebilmesinin bir yolu olmamalı. Yazıda bahsedilen diğer şeyler, metadata ya da yan kanallar üzerinden bilgi sızmasını önlemeye yönelik araçlar
      Bu özelliğin varsayılan olarak açık olması pek iyi değil. Yükseltmeden sonra kullanıcıya bunu açmak isteyip istemediği sorulmalıydı
    • Asıl eleştiri, rıza ve uyarı olmadan özel ve hassas verilerin Apple’a gönderilmesi
    • Anlamadığınız bir şeye nasıl güvenebilirsiniz? Sonuçta güven, bu meseleleri bildiğine inandığınız bir kişi ya da kurumdan, yani otoriteden gelmek zorunda
      Pek çok insan için bu otorite Apple değil. Ben Apple’ın gizlilik politikalarına temkinli biçimde güveniyorum ama birçok insan Apple’a güvenmiyor ve bunun nedenleri var
      Bu yüzden, opt-in yapılmamış bir Apple özelliği kişisel verileri paylaşıyorsa ve Apple’ın teknik açıklamasını da anlamıyorsanız, gizliliğinizin ihlal edildiği hissi güçlenir ve bu daha büyük bir güvensizliğe yol açar. Buna yine de haksız eleştiri denebilir mi
    • Apple cihazı bile yokken çıkarı olan birini mi eleştiriyorsun
      Benim blog yazım, güveni boşa çıkarılmış bir Apple kullanıcısının bakış açısından yazıldı. Güvenli mesafeden teknolojinin havalı olduğunu düşünmek güzel; gerçekten de öyle olabilir, ama bunun temel mesele olan kullanıcı rızasının yokluğu ile ilgisi yok
  • Bana genel olarak kullanıcı gizliliği güçlü biçimde gözetilerek uygulanmış makul bir özellik gibi görünüyor. Tabii açıklamaya gereğinden fazla güveniyor da olabilirim
    Bu yazı büyük ölçüde öfke uyandırmak için yazılmış gibi görünüyor ve Hacker News’te çıkan böyle yazılara “kanmamak” gerektiğini düşünüyorum. Bu, tabloidlerde ya da Facebook’ta öfke uyandıran yazılar çıktığında dikkatli olmakla benzer
    Yazının ya da bu başlıktaki bazı endişelerin Apple’ın gelirine pek etkisi olmayacak gibi görünüyor. Gerçekte bazı müşterilerin yaşayabileceği endişe veri kullanımı olabilir; düşük veri modunda bu özelliğin kapanacağını tahmin ediyorum
    Bu tür sorunların gizlilik varsayılanları gibi ayarlarla çözülüp çözülemeyeceğini merak ediyorum. Gazeteciler, aktivistler, bazı şirketlerin BT departmanları ve bu tür yazılar yazan kişilerin, OS güncellemesi sırasında ağla daha az iletişim kuran bir değer seçebilmesi gibi. Anlaşılır bir UI tasarlamak zor görünüyor. iOS’ta zaten “kilit modu” var ama bunun bu ayarı etkileyip etkilemediğini bilmiyorum

    • Apple’ın yapması gereken tek şey, bunu kelimenin tam anlamıyla varsayılan olarak açık yapmamaktı. Sormadan ağ üzerinden bir şeyler göndermek, Apple’a duyulan güveni giderek daha da azaltıyor
    • Makul bir özellik ama yine de kullanıcının opt-in onayı gerekli. Rahatsızlığı azaltmak için kurulum ya da yükseltme sırasında opt-in’ler topluca sorulabilir
    • Özellikle net olmayan şey, iOS’un telefondaki tüm verileri tarayıp bunun bir kısmını herkese açık bir indekse gönderip göndermediği
      UI’da görünen çalışma biçimine bakılırsa öyle değil gibi. Özellik kullanıcı eylemiyle etkinleşiyorsa, bunun da sunucuyla iletişim sayılıp sayılmayacağını merak ediyorum
    • Bunu başka bir şirket yapsaydı muhtemelen makul bir özelliği makul şekilde yapmış derdim. Sorun, Apple’ın böyle şeyler yapmadığını reklam etmek için on milyonlarca, hatta yüz milyonlarca dolar harcamış olması
      Anlatı şuydu: O şeyler, reklam şirketinin işlettiği o nahoş diğer OS’in aksine iPhone’un içinde kalıyordu. Apple verinizi asla dışarı çıkarmıyor, siz ürün değilsiniz ve Apple sizi önemsiyor deniyordu
      Böyle bir şey, tek başına bakıldığında makul olsun ya da olmasın, bu anlatıyı tamamen çökertiyor. Dev reklam panolarında bu kadar açık yalan söylemeye istekliyse, çıkarı gerektirdiğinde başka neler yapacağını bilemezsiniz
  • Sanırım iOS 18’den önce olmayan benzer bir aramayla ilgili ayarı az önce gördüm
    Ayarlar -> Arama’ya girince “Apple’ın Search’ü Geliştirmesine Yardım Et” seçeneği var ve varsayılan olarak açık
    “Apple’ın, Safari(!!), Siri ve Spotlight’a girdiğiniz aramaları sizinle ilişkilendirilemeyecek şekilde saklamasına izin vererek Search’ü geliştirmeye yardımcı olun. Aramalar, genel bilgi sorgularını ve müzik çalma ya da yol tarifi gibi istekleri içerir.”
    Daha önce de vardıysa yeniden açılmış demektir

    • “Safari’ye girdiğiniz aramaları [...] sizinle ilişkilendirilemeyecek şekilde saklamak” kısmına gelince, daha 10 yıl önceki yeniden kimliklendirme araştırmaları bile arama geçmişinin kullanıcıyı tamamen ortaya çıkarabildiğini açıkça göstermişti
      Apple’ın saklama yönteminin gizliliğimi güvenilir biçimde koruduğuna inanmam için çok daha fazla ayrıntıya ihtiyacım var. Elbette alıntı bunu iddia etmiyor
    • Bu, asıl yazıdan daha da ciddi. Apple nasıl bir paralel evrende yaşıyor da insanların arama geçmişini toplamanın varsayılan olarak açık olmasının, hem de rıza olmadan, kabul edilebilir olduğunu düşünüyor
    • Kahretsin, doğru. Benim cihazımda da varsayılan olarak açıktı ve buna onay vermiş olmam mümkün görünmüyor
    • Evet. Bu da varsayılan olarak açık olan başka bir ayar
  • Bilgi olarak, macOS'ta photoanalysisd servisi arka planda çalışıyor ve Apple Photos'u hiç açmasanız bile fotoğrafları tarıyor.
    SIP, yani Sistem Bütünlüğü Koruması kapatılmadıkça devre dışı bırakılamıyor; bunu yapmak için de birden çok yeniden başlatma ve uyarıları geçmeyi gerektiren karmaşık bir süreç gerekiyor. SIP yeniden açılınca tekrar etkinleşiyor.
    Apple, nedense kullanıcı istese de istemese de fotoğraf analizi konusunda epey hevesli görünüyor.

    • Spotlight'ın da Mac'teki tüm dosyaları taradığını öğrenince şaşırabilirsiniz.
    • Yine de bu, Mac üzerinde yerel olarak çalışan bir şey değil mi?
    • Teorik olarak CSAM zaten bir yerel servisin parçası olabilir. Cihaza bağlı bir hesap gerektiği anda mahremiyet bitmiştir. Sadece iCloud değil, cihazın kendisine bağlı bir hesaptan söz ediyorum. Linux bilgisayar kullanmak için hesaba gerek yok.
    • Sunucuyla iletişime geçiyor mu? Dosyalarımın taranması umurumda değil. Cihazımdan özel verilerimin ayrıntılarının çıkması beni rahatsız ediyor.
    • “Apple, nedense kullanıcı istese de istemese de fotoğraf analizi konusunda epey hevesli görünüyor” kısmı, son kullanıcı bunu kirletirse kırılgan olmaz mı?
      Herkes kendi fotoğraflarıyla eğitilmiş, biraz bozulmuş yerel bir görüntü üreticisi çalıştırıp sonra Apple'ın fotoğraf hash toplamasını çöple doldurursa ne olur?
      Sonra ne olacak?
      Oldukça iyi bir arındırıcı etki olurdu. Kimin ne kadar öfkelendiğine bakarak çok şey öğrenebilirsiniz.
  • Bu olay, COVID döneminde Apple ve Google'ın mahremiyeti koruyan maruz kalma bildirimi sistemi hakkındaki öfkeyi hatırlatıyor.
    İzleme yapmadan da maruz kalma bildirimi yapılabilmesi sezgiye aykırı görünse de, teknoloji bunu gerçekten mümkün kılmıştı.
    Burada da yazar, istemci tarafı vektörleştirme, diferansiyel mahremiyet, OHTTP aracıları ve homomorfik şifreleme gibi tekniklerin etkisini düzgün değerlendirmeye çalışmak yerine mahremiyet ihlaline yönelik içgüdüsel tepkiye yaslanıyor gibi görünüyor.
    Yine de böyle bir özellik için Apple'ın önce kullanıcı onayı alması gerektiğine %100 katılıyorum.

    • Bu tekniklerin mahremiyetini değerlendirmek isterim.
      Biri kaynak kodu bağlantısını verirse internetteki rastgele birinin sözüne güvenmek yerine tam olarak ne yaptığını görebilirim.
      Hatta daha iyisi, kendim derleyebilsem.
    • O COVID özelliği opt-in idi. Yazarın burada şikayet ettiği şey, opt-in olmaması.
  • “Apple'ın blog yazısındaki teknik ayrıntıların çoğunu anlamıyorum” kısmına gelirsek, ben anlıyorum.
    İstemci tarafı vektörleştirme: Fotoğrafı yerelde işleyip göndermeden önce geri döndürülemez bir vektör temsili hazırlanıyor. Bunu anlamsal hash gibi düşünebilirsiniz.
    Diferansiyel mahremiyet: Göndermeden önce vektöre epey miktarda gürültü ekleniyor. Bu, vektörün tersine sorgulanamamasını sağlayacak kadar yüksek bir seviye. Buradaki gürültü seviyesi ε = 0.8 ve bu da oldukça iyi mahremiyet anlamına geliyor.
    OHTTP aracıları: Veri üçüncü bir taraf üzerinden iletildiği için Apple IP adresini bilemez. İçerik şifreli olduğu için üçüncü taraf da hiçbir şey öğrenemez. “IP X bir Apple Photos kullanıcısıdır” gibi bir bilginin açığa çıkma riski olabilir ama kütüphanenin içeriği öğrenilemez.
    Homomorfik şifreleme: Sorgu işlemi sunucuda şifreli veri üzerinde yürütülür. Apple ne vektör içeriğini ne de yanıt içeriğini çözebilir; sadece istemci sorgu sonucunu çözebilir.
    İyi bir mahremiyet tasarımı böyle görünür. Birden çok katmanda mahremiyet koruması var ve son üçünden biri bile tek başına mahremiyeti korumaya yeterli olmalı.
    “Mahremiyet ihlali riskine karşı kendi tolerans düzeyini bireysel kullanıcı belirlemeli” iddiasına gelince, yazar burada kendisinin Apple güvenlik araştırmacısı gibi görünmesine rağmen bilinçli bir seçim yapamadığını söylüyor.
    Doğru değerlendirmenin ne olduğundan emin değilim. Ama “bu yüzden hesaplamada mahremiyeti garanti etmenin tek yolu veriyi cihaz dışına hiç göndermemektir” sonucu doğru değil. Hizmeti kullanırken de mahremiyet sağlayan araçlar var; örneğin diferansiyel mahremiyet ve homomorfik şifreleme. Bunlar çok karmaşık ve kullanıcıların riski gerçekçi biçimde değerlendirmesi zor, ama diskinizden büyük veri kümeleri ya da sık değişen içerik gerektiren özellikler istiyorsanız bu araçlara ihtiyaç var.

    • Açıklama için teşekkürler ama asıl sorunu ele almadığını düşünüyorum. Sorun, verilerimin varsayılan olarak ve makul bir bilgilendirme olmadan cihaz dışına gönderilmesi.
      Birçok kullanıcı buna onay verebilir. Dediğiniz gibi çok güvenli de olabilir. Ama herkesin buna peşinen onay vermiş sayılması asıl sorun.
    • “İyi bir mahremiyet tasarımı” benim fotoğraflarımın açık bir opt-in izni olmadan hiçbir biçimde hiçbir yere gönderilmemesi demektir.
    • “Tam kullanıcı anlayışı” ile “kullanıcının hiç seçeneği olmaması” arasında sahte bir ikilik kuruyorsunuz. Mesele, kullanıcıların homomorfik şifreleme ya da diferansiyel mahremiyeti tamamen anlayıp anlayamaması değil; temel mesele rıza ve şeffaflık.
      Kullanıcının “Bu özellik, daha iyi arama için fotoğraflar hakkında verileri Apple sunucularına gönderir” cümlesini anlaması için doktora derecesine ihtiyacı yok.
      Mahremiyet korumalarının karmaşık olması, kullanıcı seçimini ortadan kaldırmayı haklı çıkarmaz. Bu mantıkla hiçbir teknik özellik için kullanıcıya soru sorulmamalı.
      Mahremiyet konusunda hassas birçok kullanıcı basit bir ilkeye bağlıdır: nasıl korunduğundan bağımsız olarak, cihazdan neyin çıktığını kontrol etmek isterler.
      “Açıklaması çok karmaşık” iddiası, mahremiyeti ihlal eden her varsayılan ayarı meşrulaştırabilir. GPS teknolojisini açıklamak çok karmaşık diye konum servislerini varsayılan olarak açık yapmayı da aynı ölçütle mi değerlendireceğiz?
      Gerçek çözüm basit: özelliği sade bir dille açıklayın, faydasını vurgulayın, mahremiyet korumalarını özetleyin ve bırakın kullanıcı seçsin. Apple bunu zaten birçok başka özellikte yapıyor. Varsayılanın kapalı olması ve opt-in, alttaki koruma ne kadar sağlam olursa olsun mahremiyete saygılı tasarımın temel ilkesidir.
    • İyi bir mahremiyet tasarımı, fiilen hiçbir bilginin hiçbir yere, hiçbir kişiye, hiçbir zaman gönderilmediği tasarımdır.
    • Yazar bir Apple güvenlik araştırmacısı değil.
      Jeff Johnson, Apple platformları için uygulamalar, özellikle Safari eklentileri geliştiriyor ve Apple'la ilgili rahatsızlıklarını sık sık blogunda yazıyor, ama bir güvenlik araştırmacısı değil.