Tại Sao Một Trong Những Biện Pháp Bảo Mật Quan Trọng của Apple Làm Không Đúng

Suốt một năm qua, Apple đã quảng cáo một công cụ toán học mà họ mô tả là giải pháp cho một vấn đề ngược đời: khai thác dữ liệu người dùng trong khi đồng thời bảo vệ quyền riêng tư của người dùng. Vũ khí bí mật đó là "quyền riêng tư khác biệt," một lĩnh vực mới của khoa học dữ liệu tập trung vào việc thêm nhiễu ngẫu nhiên một cách cẩn thận vào thông tin cá nhân của người dùng trước khi nó được tải lên đám mây. Như vậy, bộ dữ liệu tổng của một công ty như Apple sẽ hiển thị kết quả có ý nghĩa mà không tiết lộ bất kỳ bí mật nào của một người cụ thể.

Nhưng quyền riêng tư khác biệt không phải là một công tắc chuyển đổi đơn giản giữa quyền riêng tư tuyệt đối và sự xâm phạm mọi giới. Và một nghiên cứu mới, nghiên cứu sâu vào cách Apple thực sự triển khai kỹ thuật, gợi ý rằng công ty đã đẩy cái điều chỉnh đó hơn nữa về khai thác dữ liệu mạnh mẽ hơn những gì các cam kết công khai của nó ngụ ý.

Epsilon, Epsilon

Nhóm Nghiên cứu tại Đại học Nam California, Đại học Indiana và Đại học Tsinghua của Trung Quốc đã khám phá mã nguồn của hệ điều hành MacOS và iOS của Apple để ngược kỹ thuật làm thế nào các thiết bị của công ty triển khai quyền riêng tư khác biệt trong thực tế. Họ đã xem xét cách phần mềm của Apple thêm nhiễu ngẫu nhiên vào thông tin cá nhân—từ việc sử dụng biểu tượng cảm xúc đến lịch sử duyệt web của bạn, dữ liệu HealthKit đến các truy vấn tìm kiếm—trước khi iPhone hoặc MacBook của bạn tải lên dữ liệu đó lên máy chủ của Apple.

Lý tưởng, sự làm rối đó giúp bảo vệ dữ liệu riêng tư của bạn khỏi bất kỳ hacker hoặc cơ quan chính phủ nào truy cập cơ sở dữ liệu của Apple, những nhà quảng cáo mà Apple có thể bán dữ liệu cho một ngày nào đó, hoặc ngay cả nhân viên của Apple. Nhưng hiệu quả của quyền riêng tư khác biệt phụ thuộc vào một biến được biết đến là "tham số mất riêng tư," hoặc "epsilon," xác định mức độ chính xác mà một người thu thập dữ liệu sẽ hy sinh vì việc bảo vệ bí mật của người dùng. Bằng cách tháo gỡ mã nguồn của Apple để xác định epsilon mà công ty đã chọn, nhóm nghiên cứu phát hiện rằng MacOS tải lên dữ liệu cụ thể nhiều hơn đáng kể so với những gì một nhà nghiên cứu quyền riêng tư khác biệt điển hình có thể coi là riêng tư. iOS 10 tải lên thậm chí nhiều hơn. Và có lẽ đáng lo ngại nhất, theo tác giả của nghiên cứu, là Apple giữ cả mã nguồn và giá trị epsilon của mình là bí mật, cho phép công ty có thể thay đổi những biến số quan trọng đó và xói mòn bảo vệ quyền riêng tư của họ mà không cần sự giám sát nhiều.

Trả lời lại nghiên cứu, Apple chỉ ra rằng việc thu thập dữ liệu của họ là hoàn toàn tự nguyện. (Apple khích lệ người dùng chia sẻ thông tin "chuẩn đoán và sử dụng" với công ty khi hệ điều hành của họ khởi động lần đầu.) Và công ty cơ bản tranh cãi với nhiều kết luận của nghiên cứu, bao gồm mức độ mà Apple có thể liên kết bất kỳ dữ liệu cụ thể nào với một người dùng cụ thể.

Nhưng tác giả của nghiên cứu vẫn kiên quyết với những khẳng định của họ và khẳng định rằng Apple bán đứng quyền riêng tư khác biệt của mình. "Tham số mất riêng tư của Apple vượt quá mức thông thường được coi là chấp nhận được bởi cộng đồng nghiên cứu quyền riêng tư khác biệt," giáo sư Aleksandra Korolova của Đại học Nam California, một cựu nhà nghiên cứu Google đã làm việc trên quyền riêng tư khác biệt của Google cho đến năm 2014, nói. Cô nói rằng việc giảm chất bảo vệ quyền riêng tư của Apple trong iOS đặc biệt đại diện cho một "tăng nguy cơ to lớn" so với việc sử dụng mà hầu hết các nhà nghiên cứu trong lĩnh vực này khuyến nghị.

Frank McSherry, một trong những người phát minh ra quyền riêng tư khác biệt và là một nghiên cứu viên cựu của Microsoft, trình bày quan điểm của mình về những phát hiện của nghiên cứu một cách trung thực hơn: "Apple đã đặt một loại còng tay nào đó trong cách họ tương tác với dữ liệu của bạn," ông nói. "Chỉ là những còng tay đó được làm từ giấy có kết cấu như giấy ăn."

'Không phải là Bảo đảm Đầy đủ'

Để xác định các tham số chính xác mà Apple sử dụng để hạn chế khai thác dữ liệu của mình, nhóm nghiên cứu từ Indiana, USC và Tsinghua đã dành hơn sáu tháng lục lọi mã nguồn của MacOS và iOS 10, xác định các tệp cụ thể mà Apple tổng hợp, mã hóa và tải lên từ iPhones và Macs về máy chủ của mình một lần mỗi ngày. Họ sử dụng công cụ đảo ngược kỹ thuật Hopper để tách mã ra và công cụ gỡ lỗi để xem nó chạy theo thời gian thực để nhìn thấy cách nó hoạt động, từng bước một.

Dựa trên những quan sát đó, Korolova nói, nhóm nghiên cứu xác định rằng việc triển khai của MacOS về quyền riêng tư khác biệt sử dụng một epsilon là 6, trong khi iOS 10 có một epsilon là 14. Khi giá trị epsilon đó tăng lên, rủi ro có thể xác định được dữ liệu cụ thể của một người dùng cá nhân tăng lên theo cấp số nhân.

Theo Frank McSherry, một trong những người phát minh ra quyền riêng tư khác biệt, các nhà học thuật nói chung xem bất kỳ giá trị của epsilon lớn hơn một là sự hy sinh nghiêm túc về quyền riêng tư. iOS và MacOS gửi dữ liệu đó trở lại Apple một lần mỗi ngày; McSherry nói rằng rủi ro tăng lên với mỗi lần tải lên hàng ngày. "Bất kỳ cái gì lớn hơn một không phải là một bảo đảm đầy đủ để an tâm," McSherry nói. "Sử dụng một giá trị epsilon là 14 mỗi ngày dường như vô nghĩa như một biện pháp bảo vệ." (Các nghiên cứu viên phát hiện rằng phiên bản beta của iOS11 có một epsilon là 43, nhưng bảo vệ quyền riêng tư gần như không tồn tại đó có thể là một biện pháp tạm thời trong phiên bản beta sẽ được thay đổi trong phiên bản đầy đủ của hệ điều hành.)

Để hiểu rõ hơn về những hậu quả của những con số đó, McSherry đề xuất một ví dụ đơn giản hóa: Giả sử ai đó đã thông báo cho ứng dụng sức khỏe trên điện thoại của họ rằng họ có một điều kiện y tế một trên một triệu, và điện thoại của họ tải lên dữ liệu đó lên tạo ra điều kiện mỗi ngày, sử dụng quyền riêng tư khác biệt với một epsilon là 14. Sau một lần tải lên bị làm rối với một lượng dữ liệu ngẫu nhiên, McSherry nói, các nhà phân tích dữ liệu của công ty sẽ có khả năng xác định với 50% chắc chắn liệu người đó có điều kiện hay không. Sau hai ngày tải lên, các nhà phân tích sẽ biết về điều kiện y tế đó với khả năng 100% chắc chắn. "Ngay cả sau một ngày, bạn đã làm mất đi an ninh mạnh mẽ này," McSherry nói.

Tuy nhiên, Apple mạnh mẽ phủ nhận các giá trị epsilon của nhóm nghiên cứu đối với hệ thống quyền riêng tư của mình. Công ty lập luận rằng hệ thống quyền riêng tư khác biệt của họ thêm các mức độ nhiễu khác nhau cho từng loại dữ liệu, bảo vệ nhiều hơn rất nhiều so với những điểm mà nhóm nghiên cứu đã công nhận đối với mỗi loại, và đặc biệt là đối với dữ liệu nhạy cảm như dữ liệu được tải lên bởi HealthKit. Họ cũng chỉ ra rằng nhóm nghiên cứu về cơ bản đã cộng lại các epsilon cho mỗi loại dữ liệu và giả định rằng những điểm dữ liệu khác nhau đó có thể được liên kết để tìm hiểu về một người dùng theo thời gian. Nhưng Apple nói rằng họ không liên kết những loại dữ liệu khác nhau đó - rằng họ không chắc chắn làm thế nào các loại dữ liệu khác nhau như việc sử dụng biểu tượng cảm xúc và dữ liệu sức khỏe có thể được liên kết có ý nghĩa. Họ cũng thêm rằng họ cũng không xây dựng các hồ sơ của cá nhân theo thời gian, thiết lập giới hạn về việc lưu trữ dữ liệu làm cho việc liên kết đó trở nên không thể, và loại bỏ bất kỳ dữ liệu nào như địa chỉ IP có thể được sử dụng như các nhận dạng duy nhất để kết nối bất kỳ kết luận nào với một người cụ thể.

Mối Đe Dọa Đã Qua và Tương Lai

Korolova đối luận rằng ý nghĩa của quyền riêng tư khác biệt là nó giả định hành vi tồi tệ nhất từ công ty thu thập dữ liệu. Khi được triển khai đúng cách, người dùng không cần phải tin tưởng vào một công ty để xử lý dữ liệu cá nhân của họ theo một cách cụ thể trên các máy chủ xa xôi; những cam kết của quyền riêng tư khác biệt quy định rằng họ có thể truy cập bao nhiêu dữ liệu cụ thể từ đầu. Apple có thể sử dụng các lớp phòng thủ khác chống lại việc xâm phạ quyền riêng tư của người dùng, như nó nói, nhưng Korolova cho rằng những biện pháp khác có thể thay đổi mà không cần sự hiểu biết của người dùng, và không làm cho cài đặt quyền riêng tư khác biệt nổi bật của công ty trở nên mạnh mẽ hơn.

Còn đối với khả năng khó khăn của việc liên kết giữa các loại dữ liệu không liên quan, Korolova đưa ra rằng quyền riêng tư khác biệt tồn tại để ngăn chặn chính xác loại "sự thất vọng về sự sáng tạo này." "Chỉ vì họ không thể nghĩ ra cách nào để liên kết dữ liệu này không có nghĩa là người khác không thể," cô nói. Quyền riêng tư khác biệt giúp đảm bảo cam kết toán học chống lại các kỹ thuật liên kết tinh tế mà chưa tồn tại, không chỉ là những kỹ thuật đang được sử dụng hiện tại.

Nhưng Apple không nên bị đánh giá quá nặng về nhược điểm của quyền riêng tư khác biệt, McSherry đề xuất. Công ty này, cuối cùng, đã dành rất nhiều nguồn lực cho các công nghệ bảo vệ quyền riêng tư khác, như mã hóa toàn bộ ổ cứng trong iPhone và mã hóa end-to-end trong iMessage và FaceTime. Và đó chỉ là một trong số ít các công ty ở Thung lũng Silicon đã ít nhất đã tiến một bước đầu tiên hướng tới một hình thức khai thác dữ liệu giữ quyền riêng tư hơn, anh ta nói. Một số quyền riêng tư khác biệt có thể tốt hơn là không có gì cả. "Đó là giống như đồng ý với Hiệp ước Khí hậu Paris và sau đó nhận ra bạn là một người gây ô nhiễm khí nhà kính cực lớn và vượt quá giới hạn," McSherry nói. "Nó vẫn là một bước đầu thú vị và có lẽ là tốt nhất."

Để so sánh, đối thủ lớn khác trong thế giới quyền riêng tư khác biệt là Google, hệ thống quyền riêng tư khác biệt cho Chrome của họ được biết đến là RAPPOR, hoặc Randomized Aggregatable Privacy-Preserving Ordinal Response. Theo phân tích của Google, hệ thống này tuyên bố có một epsilon là 2 cho bất kỳ dữ liệu cụ thể nào gửi đến công ty, và một giới hạn trên cùng là 8 hoặc 9 suốt cuộc sống của người dùng. Điều đó trong lý thuyết tốt hơn so với đánh giá của Indiana, USC và Tsinghua về quyền riêng tư khác biệt của Apple. Và Google cũng mở mã nguồn mã nguồn RAPPOR của mình, để mọi thay đổi của giá trị epsilon sẽ rõ ràng hơn nhiều. Tuy nhiên, các công ty như Facebook và Microsoft đã không có nỗ lực công khai để triển khai quyền riêng tư khác biệt, mặc dù các nhà nghiên cứu của Microsoft đã phát minh ra nó hơn một thập kỷ trước.

Nhưng điều mà Korolova thấy làm ảnh hưởng nhiều nhất đối với phương pháp của Apple là sự mơ hồ của nó. Mất sáu tháng phân tích của một nhóm nghiên cứu để xác định epsilon của các hệ thống quyền riêng tư khác biệt của nó, trong khi Apple có thể đơn giản là công bố nó mở cửa. "Họ đang nói 'đúng, chúng tôi triển khai quyền riêng tư khác biệt, tin chúng tôi, nhưng chúng tôi sẽ không nói cho bạn biết chúng tôi triển khai ở mức độ nào,'" Korolova nói. "Bằng cách không tiết lộ thông số của họ, họ đang phá vỡ bất kỳ cam kết thực sự nào."

Cô hy vọng rằng kết quả của nghiên cứu của mình sẽ không phải là để xấu hổ Apple, mà là để áp đặt áp lực đối với nó để công bố cách chính xác nó sử dụng quyền riêng tư khác biệt và có thể tạo ra thêm sự cạnh tranh từ các công ty khác để phù hợp hoặc vượt quá tiêu chuẩn đó. "Nếu Apple mở cửa hơn về những gì họ đang làm," cô nói, "đó sẽ là một chiến thắng cho quyền riêng tư toàn cầu."

Và trong khi đó, nếu bảo vệ chia sẻ dữ liệu của Apple quá thoải mái hoặc mơ hồ theo cách bạn muốn, bạn có thể dừng việc chia sẻ dữ liệu của mình.

iPhone, Điện Thoại Của Bạn

• iPhone của bạn chứa đựng nhiều loại dữ liệu nhạy cảm và quan trọng, đó là lý do tại sao bạn nên biết cách sao lưu nó

• Bạn có lẽ không muốn nói chuyện với mọi người gọi cho bạn. Việc chặn họ có thể giúp đỡ.

• Chỉ mới tham gia cuộc sống iPhone/iPad? Dưới đây là cách cài đặt nó