Когда вы первый раз включили свой iPhone, iPad, iPod touch или Mac, что вам предложила система?
Среди вещей, с которыми народ обычно соглашается, была одна любопытная. Скорее всего, вы позволили Apple следить за всем, что делаете на устройстве. А вашу бдительность усыпили обещания, что полученные данные будут обезличены и никому больше не достанутся.
Дескать, ваши данные надёжно защищены с помощью случайного шума, честное слово.
На практике всё оказалось несколько иначе. Рассказываем, как на самом деле работает технология дифференциальной безопасности, применяющаяся во всех продуктах Apple. И почему она дырявая в исполнении ребят из Купертино.
Я пропустил, когда появилась дифференциальная безопасность?
Дифференциальная безопасность была добавлена в iOS 10. В обзоре технологии Apple утверждает, что собирает данные пользователей – но только те, которыми они сами хотят поделится. Информацию использует встроенная система аналитики и другие сервисы, чтобы оптимизировать использование гаджета и софта на нём.
Дифференциальная безопасность применяется для:
- Разработки улучшений для Emoji и QuickType;
- Создания подсказок по поиску;
- Поиска элементов автоматического воспроизведения на сайтах для Safari, чрезмерного расхода энергии этим браузером и ресурсов, которые могут привести к проблемам в его работе (для iOS 11);
- Анализа использования приложения Health (также в iOS 11).
Все собранные данные хранятся до 18 месяцев. Apple заявила, что не собирает IP-адреса или идентификаторы устройств.
В чём заключается дифференциальная безопасность?
Чтобы отследить шаблоны поведения, информацию от множества пользователей сливают в единую базу данных. Но чтобы защитить конкретного пользователя, к его данным примешивается случайный математический шум. Он позволяет разорвать связь между устройством и конкретным набором данных.
Только эти зашумленные данные отправляются на сервера Apple.
В итоге система аналитики исследует обезличенную информацию. Она понимает, как именно владельцы пользуются устройствами, но не знает, к примеру, любите ли конкретно вы много скроллить или нажимать на кнопки, какой у вас любимый эмодзи. Или как вы себя чувствуете после чтения новостей (привет, фейсбук!).
Какие данные получает Apple от меня? Где посмотреть?
Данные, которые отправляются из iOS, можно посмотреть в меню «Настройки» -«Конфиденциальность» – «Аназиз» – «Данные аналитики» – «Дифференциальная приватность».
В macOS можно запустить приложение «Консоль» и увидеть данные в меню «Системные отчёты» – «Дифференциальная приватность» или в пункте «Данные анализа Mac».
Теперь к проблеме. Эпсилон? Что это такое?
До отправки на сервер данные шифруются с использованием хэш-кода SHA-256 и преобразуются в вектор. Каждую координату вектора могут затем изменить на неверное значением (шум) с вероятностью 1/(1+еƐ), где е – экспонента, основание натурального логарифма, приближенно 2,71828, а Ɛ – тот самый эпсилон.
Эпсилон – это параметр, который определяет уровень зашумления ваших данных.
Именно он определяет, как полученная Apple информация смешивается с цифровым шумом. Чем выше переменная эпсилон, тем больше верных персональных данных остаётся.
Какой эпсилон использует Apple и почему это важно?
Компания Apple раскрыла значения переменной Ɛ и частоты отправки данных с выходом iOS 11:
- Для подсказок в поиске и QuickType применяется добавление шума с эпсилон, равным четырём. Данные отправляются дважды в день.
- Для эмодзи эпсилон также равен четырём, но отправка данных выполняется один раз в сутки.
- Информация о приложении Health также отправляется ежедневно, но с эпсилон, равным двум. Причём это скорее не сами данные о здоровье, а то, как пользователи их меняют и насколько часто.
- Наконец, данные о работе Safari отправляются дважды в день с эпсилон, равным четырём.
Но исходные коды функции зашумления Apple, конечно же, не показала. И кто знает, что там на самом деле происходит.
Что говорят исследования на тему безопасности?
Учёные из университетов Южной Калифорнии, Индианы и Цинхуа покопались в коде macOS и iOS и выяснили, что дифференциальная приватность на практике применяется не так, как описано компанией.
Они отследили, как в личные данные добавляется случайный шум. И нашли расхождения с официальной позицией Apple.
Аналитики хотели проверить реальное значение эпсилон. И пришли к выводу: на сервера Apple уходит гораздо больше незашумленных данных, чем ожидалось.
Код операционных систем специалисты разобрали на части программой Hopper. Оказалось, что в реальности у macOS значение эпсилон равно шести, а у iOS 10 – четырнадцати!
Чем больше эпсилон, тем выше вероятность выследить вас по вашему набору данных. Скажем больше: все значения эпсилон больше единицы рассматриваются как серьёзная угроза безопасности.
К тому же с каждой загрузкой данных вероятность отслеживания повышается. А загрузка 1-2 раза в день – это много.
Конечно, исследователи тестировали macOS 10.12 и iOS 10. Теоретически возможно, что с выходом новых версий Apple уменьшила значения эпсилон.
Но в бета-версии iOS 11 значение эпсилон составляло 43. СОРОК ТРИ! Верите ли вы, что в финальной версии его уменьшили до 2 или 4?…
Почему методы Apple опасны?
Фрэнк МакШерри, один из основателей дифференциальной приватности и бывший сотрудник Microsoft, отметил: Apple будто надела на себя наручники при взаимодействии с вашими данными. Правда, оказывается, что они сделаны из бумаги.
Исследователь привёл следующие расчёты. Если с вашего iPhone ежедневно отправляются данные из приложения Health с эпсилон, равным 14, то компания может вас идентифицировать с вероятностью 50% уже после первой отправки. А через два дня степень уверенности вырастет почти до 100%.
Apple, конечно же, всё отрицает. Дескать, исследователи ошиблись, все типы информации свалили в кучу и т.п. Корреляции между данными для идентификации пользователей разработчики также отвергли.
Но выглядит это неубедительно. Хотя бы потому, что если бы Apple этим не занималась, то однажды кто-то другой провёл бы параллели между данными и опознал конкретных пользователей. Хотя дифференциальная приватность, вообще говоря, не должна такого допускать.
К слову, в Google Chrome также есть система дифференциальной приватности и инструмент для сбора данных RAPPOR. Внутреннее исследование показало, что для одного пакета данных эпсилон не превышает двух. А на длинной дистанции (отправка нескольких наборов данных) значение может расти до 8-9.
Что ж, зато исходный код RAPPOR лежит в свободном доступе, и все могут посмотреть, как работает анализ.
Как запретить Apple собирать мои данные?
Система предлагает пользователю выбрать, разрешать или не разрешать собирать данные, при первой загрузке. Но отменить решение и запретить отправку статистики можно в любой момент.
iOS 11: сделать это можно в приложении «Настройки» – «Конфиденциальность» – «Анализ» (сделать пункты в меню «Делиться Анализом iPhone, Watch» неактивными) и в настройках Safari «Конфиденциальность и безопасность». Варианты для более старых версий описаны здесь.
macOS: отправка данных отключается в меню «Apple» – «Системные настройки» – «Защита и безопасность» – «Конфиденциальность» – «Анализ». Нужно снять флажки «Отправлять разработчикам» в пункте «Доступ к данным Анализа Mac» и «Поделиться Анализом iCloud».
Выводы неутешительные. Приватность Apple только на словах
Знать наверняка, что о нас с вами знают создатели гаджетов и ПО, можно только при использовании продуктов с открытым исходным кодом и соответствующих навыков анализа кода. Да и то бывают нюансы.
Но если вы не хотите делиться с Apple личной информацией, теперь вы знаете, что делать. Хотя, конечно, и у iOS, и у macOS с безопасностью всё хуже, чем хотелось бы.
Вместо послесловия я соглашусь с мнением криптографа Мэтью Грина, профессора университета Джонса Хопкинса. Он отметил, далее прямая речь:
С одной стороны, как учёный я понимаю, насколько интересно наблюдать за внедрением передовых научных разработок в реальном продукте. И Apple предоставляет очень большую площадку для таких экспериментов. С другой стороны, компания должна при малейших вопросах показывать код, критически важный для безопасности (как Google сделала с RAPPOR), или хотя бы откровенно изложить, что конкретно она реализует.
Если Apple планирует собирать массивные объёмы новых данных с устройств, от которым мы так зависим, то мы должны быть действительно уверены, что они делают всё правильно — а не бурно аплодировать им за внедрение таких крутых идей.
Nuff said.
25 комментариев
Форум →Все вокруг врут, одна Ксения Шестакова говорит правду. Спасибо, Ксения, без тебя жизни нет!
@CIA_agent, помню как-то тут некоторые пуканы рвали, доказывая что в странах типа тоталитарной рашки собирают данные, а в таких светлых и демократических странах как пиндостан все блюдут закон и за гражданами не шпионят.
Получается кострюлеголовые опять ошибались:)
эти переключатели реально что то меняют?))
Да, все верно, в лиц соглашении все прописанно. Только 95% я не вижу смысла беспокоиться. Ну и что, что эпл знаете какие сериалы мы смотрим и в какой части мира находимся?
Все гораздо проще.
У каждого пользователя есть ежедневное сетевое “поведение”.
Можно с легкость узнать, кто именно сел за комп или взял в руки смартфон лишь по первым его действиям: на какие сайты юзер полез, кому написал письмо или в вотцап, кому отправил “смеющуюся какашку”.
В случае с компом – даже по движению курсора мыши можно узнать человека – это как почерк.
Так что, повторюсь всё проще. Без “векторов” и “Эпсилонов”.
как отключить? уехать жить в джунгли с перочинным ножом оставив всё дома!
@gerush, но и там могут стоять тепловизоры и датчики движения. ))
Apple – единственная крупная IT-компания, которая по-настоящему заботится о приватности и безопасности. Полный антипод Google. Поэтому статья ни о чем. Злобный Тим Кук вечерами вычисляет по обезличенным данным их первоисточник и что делает потом? Показывает таргетированную рекламу? Нет. Продает третьим лицам? Нет. Делает что-то опасное или неприятное для пользователя? Нет. Статья – бред параноика.
@CIA_agent, смешно получилось в плане “заботящейся компании” ))
@CIA_agent, этот полный антипод сотрудничает с госаапаратом там где другие не рискуют. Apple как корпорация “добра” это очень смешно, смешнее только сказать такое про Оракл.
Да и IT компанией её можно назвать с натяжкой, Google двигает прогресс.
А что делает Apple? Новый дизайн Айфони, патентует новые ремешки для часов?
@Menzoberonzan, отрицать, что Apple двигает вперед IT-индустрию, значит расписаться в своей тупости.
@CIA_agent, вас таких “расписывающихся” бестолковок цельный интернет.
А по существу, есть что сказать, не? Или своего мнения нет?
Что конкретно делает Apple для человечества, с примерами пожалуйста.
@Menzoberonzan, очень много проектов в здравоохранении например и некоторые достаточно передовые.
@AzbukaIT, а конкретнее?
Потому что сервисы Гугла у всех на слуху и ими пользуются абсолютное большинство. Этим обеспечивается доступность технологий.
А ещё Гугл вкладывается в фундаментальные исследования, в технологические проекты, в образование.
Во что вкладывается Apple? Что из их технологий доступно всем? И что это вообще за технологии? Даже фейс ид существовал до них в том или ином виде.
Ну во-первых, аналитику можно отключить (привет, майкрософт и гугл). Во-вторых, выводы писаны вилами по воде и требуют серьезной непредвзятой проверки. Статья написана уж слишком в клик-бейтном ключе чтобы ее всерьез воспринимать.
Apple (и любая другая компания производящая смартфоны), ISP, соцсети и даже многие рекламные конторы и так могут отследить любого пользователя, безо всякой включенной аналитики. Собственно они этим и занимаются. Гугл, фейсбук – на этом вобще зарабатывают, продавая ваши данные рекламодателям. Именно поэтому Андроид бесплатен для производителей при условии использования сервисов гугла – компания зарабатывает на данных пользователя.
Apple на данных не зарабатывает, поэтому пользователь может отключить отслеживание своего поведения вебсайтами, может отключить аналитику и телеметрию.
@[root@webhead]#, вот плюсану.
Ток не «аналитика» а «анализ» внизу списка
Искал искал эту аналитику, думал уж нету у меня
можно посмотреть в меню «Настройки» -«Конфиденциальность» – «Аналитика» – «Данные аналитики» – «Дифференциальная приватность».
– именно такого меню с таким названием нету в iOS 11.2.6
@Sqrl, а голову включить и найти по аналогии, не? Трудно?
Вы же понимаете, что один раз подобную ерунду люди прочитают, но второй раз на подобные заголовки поведется на 50% меньше людей.
Да ну и что теперь. Следят все и всегда. Но кому интересны наши кошки/собаки. Наши инстаграмы. Думаю даже на обычных звонилках такое есть. Глобальная безопасность блин.
@DarkGothicLady, вполне даже интересны.
Как минимум ребяткам из направления BigData разных телеком-сервис-солюшен и прочих провайдеров:)
Эх, помнится в универе научили, что е = 2.718281828904590. 15 знаков после запятой запомнить очень просто. Сначала база -2.7, потом два раза повторяется год рождения Льва Толстого – 1828, потом прямой угол, его половина и снова прямой угол – 90 45 90
а у меня и на маке и на айфоне отключено, как так? неужели мои данные им не нужны :(
а у меня сбор данных были отключены, но в анализе данные есть за разные числа, можно что-то там просмотреть, только ничего не понятно. Похоже что по тем числам когда обновлял операционку данные записывались.
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как перенести большой архив фото в iCloud?
Как на iPhone быстро переключаться между источниками звука
Как подарить платное приложение кому-либо?
Почему iPhone отключается от Wi-Fi в ждущем режиме
Как на iPhone включить проговаривание имени звонящего
Как выводить изображение с iPhone на телевизор
Как сбросить контрольные вопросы в учётной записи Apple
Что делать, если на iPhone не работают кнопки регулировки громкости