iOS 18 और macOS 15 में Apple Photos का रिमोट डेटा ट्रांसफर फीचर
(lapcatsoftware.com)- iOS 18 और macOS Sequoia के Photos में Enhanced Visual Search जोड़ा गया, और लेखक के iPhone और Mac पर यह डिफ़ॉल्ट रूप से चालू था
- यह फीचर फोटो में मौजूद landmarks और points of interest को Apple सर्वर के global index से निजी तौर पर match करके search में मदद करता है
- Apple बताता है कि homomorphic encryption, differential privacy और OHTTP relay के जरिए वह फोटो की जानकारी नहीं जान पाता, लेकिन server communication अपने आप में privacy debate का मुख्य मुद्दा बन गया है
- आलोचना का फोकस Apple की दुर्भावना नहीं, बल्कि software bugs की संभावना है; इसके आधार के तौर पर Apple security release notes में vulnerabilities का लगातार आना बताया गया है
- macOS पर Little Snitch से communication को कुछ हद तक रोका जा सकता है, लेकिन iOS पर ऐसा विकल्प नहीं है, इसलिए users के लिए खुद को बचाना मुश्किल है
Enhanced Visual Search का डिफ़ॉल्ट रूप से चालू होना
- iPhone की Photos settings में Enhanced Visual Search नाम का नया item जोड़ा गया था और यह डिफ़ॉल्ट रूप से enabled था
- यही setting macOS Sequoia के Photos में भी नई जोड़ी गई, और Mac पर भी डिफ़ॉल्ट रूप से चालू थी
- लेखक ने screenshot लेने से पहले इस setting को manually disable किया था
Apple दस्तावेज़ में बताया गया काम करने का तरीका
- Apple का Photos & Privacy दस्तावेज़ बताता है कि Enhanced Visual Search photos को landmarks या points of interest के आधार पर search करने देता है
- device, photo में मौजूद जगहों को Apple server के global index से निजी तौर पर match करता है
- Apple का कहना है कि privacy protection के लिए वह ये technologies इस्तेमाल करता है
-
Homomorphic encryption
-
Differential privacy
- IP address छिपाने वाला OHTTP relay
- Apple दस्तावेज़ के अनुसार यह setting iOS·iPadOS में
Settings > Apps > Photos, और Mac मेंPhotos > Settings > Generalसे बंद की जा सकती है - Apple Machine Learning Research का Combining Machine Learning and Homomorphic Encryption in the Apple Ecosystem 24 अक्टूबर 2024 को प्रकाशित हुआ था, जबकि iOS 18 और macOS 15 की public release date 16 सितंबर 2024 थी
-
Privacy protection पर आलोचना
- आलोचना की शुरुआत इस बात से होती है कि users ने मांगा नहीं था, फिर भी Apple ने device के अंदर के experience को server communication से बेहतर किया
- लेखक के मानक के अनुसार, computation पूरी तरह device के अंदर ही खत्म हो तभी वह private है; अगर data manufacturer के server तक जाता है, तो उसे पूरी तरह private मानना मुश्किल है
- लेखक ने कहा कि वह खुद यह सीधे evaluate नहीं कर सकते कि Apple का implementation तकनीकी रूप से सुरक्षित है या नहीं
- हालांकि Apple के security release notes में vulnerabilities लगातार आती रहती हैं, इसलिए Apple के privacy claims पर ज्यों का त्यों भरोसा करना मुश्किल है
- आलोचना यह है कि दुर्भावना या साज़िश न भी हो, सिर्फ software bugs से ही users vulnerable हो सकते हैं, और Apple bug-free software की guarantee नहीं दे सकता
User choice और blocking tools
- लेखक को Enhanced Visual Search में रुचि नहीं है, इसलिए उनके हिसाब से feature पूरी तरह सही काम करे तब भी risk लेने का कोई फायदा नहीं है
- users की अनुमति के बिना feature चालू करना users और उनकी preferences का सम्मान न करने वाला व्यवहार बताया गया है
- लेखक का कहना है कि Apple की advertising line “What happens on your iPhone, stays on your iPhone.” इस मामले से मेल नहीं खाती
- macOS पर Little Snitch से Apple software के remote communication को काफी हद तक रोका जा सकता है
- iOS पर Little Snitch जैसे tools की अनुमति नहीं है, इसलिए लेखक को लगता है कि Apple users को खुद की सुरक्षा करने से रोक रहा है
आगे की सामग्री
- 1 जनवरी 2025 के appendix में follow-up post The internet is full of experts और Michael Tsai का summary साथ में दिए गए हैं
1 टिप्पणियां
Hacker News की राय
मेरी चाहत बहुत सरल है: ऐसा सॉफ़्टवेयर चाहिए जो स्पष्ट इरादे से पहले इंटरनेट पर कुछ भी न भेजे
इस फीचर को विश्वसनीय रूप से निजी बनाने के लिए की गई engineering अच्छी है, और ऐसे फीचर को लागू करना अपने-आप में समस्या नहीं है, लेकिन यह अनिवार्य रूप से opt-in होना चाहिए
जब तक सॉफ़्टवेयर अंतिम यूज़र और उनके डेटा, network connection जैसे संसाधनों को vendor के playground की तरह扱ेगा, भरोसा लगातार घटता रहेगा। local device data का wireless interface से बाहर अप्रत्याशित रूप से leak होना नहीं चाहिए, और local data को network पर भेजने वाले फीचर से यूज़र का इरादा अनिवार्य रूप से जुड़ा होना चाहिए
Apple ने यूज़र से बस यह क्यों नहीं पूछा कि वे यह फीचर चालू करना चाहते हैं या नहीं—इसका cynic जवाब यह है कि Apple भी जानता है कि पूछने पर कुछ यूज़र तुरंत मना कर देंगे, लेकिन उसे लगता है कि वह उन यूज़र्स से बेहतर जानता है। मुझे यह रवैया पसंद नहीं है, और मुझे लगता है कि opt-out telemetry को लेकर बढ़ती नाराज़गी की वजह भी यही है
ज़्यादातर यूज़र बिना सोचे “Allow” दबा देंगे—ऐसे dialog box और बढ़ा देने से समस्या हल नहीं होती
समाज ने असल में तीसरे पक्षों को डेटा access देने को ठीक मान लिया है, और इसमें friction जोड़ना उन 2% लोगों के लिए 98% को सज़ा देने जैसा है जो वैसे भी ऐसी services इस्तेमाल नहीं करेंगे
अगर जनता ज़्यादा शिक्षित होती तो संतुलन बदल सकता था, लेकिन वास्तविकता ऐसी नहीं है, और अच्छा user experience वास्तविकता को प्रतिबिंबित करना चाहिए
भारी बहुमत—95% से अधिक—यूज़र यह नहीं समझते कि popup का मतलब क्या है, वे उसे पढ़ने में भी सक्षम नहीं लगते, और हमेशा accept करते हैं, हमेशा reject करते हैं, या जो button ज़्यादा prominent हो उसे दबा देते हैं
अपने उन परिवारजनों को देखें जो tech industry या professional managerial class में नहीं हैं, और उनसे पूछें कि उन्होंने अभी जो popup बंद किया वह क्या था और क्यों बंद किया—technology और privacy के interaction के बारे में आपको सबसे अच्छी सीख मिलेगी
इसके लिए फोटो location के latitude/longitude को लेकर उसे मनुष्यों को समझ आने वाले address में बदलने वाली reverse geocoding lookup की ज़रूरत होती है, और यह लगभग हमेशा global reverse geocoding service से query करने के तरीके से होता है
जिज्ञासा है कि क्या आप इस फीचर को भी privacy का उल्लंघन मानते हैं और opt-in की ज़रूरत समझते हैं। अगर नहीं, तो मुझे समझ नहीं आता कि reverse geocoding service, landmark lookup service से ज़्यादा private क्यों है
व्यक्तिगत रूप से मुझे विश्वास नहीं कि ऐसे popup कोई उद्देश्य पूरा करते हैं। आखिरकार, यह तर्कसंगत रूप से साबित नहीं किया जा सकता कि website नेकनीयती से व्यवहार कर रही है। कोई app server से contact कर सकता है या नहीं, यह पूछने पर “No” दबाने से वास्तविक tracking रुक जाएगी—इसकी कोई guarantee नहीं
यह देखकर मुझे लगातार आश्चर्य होता है कि लोग खुद को समझा लेते हैं कि बड़े पैमाने पर privacy, yes/no buttons के अलग-अलग combinations से काम करेगी। software पर भरोसा करने के सिर्फ दो तरीके हैं: 1. भोलेपन से यह देखना कि कहीं “privacy first” लिखा है या नहीं 2. यह समझना कि चल रहा software कौन-कौन से commands execute कर सकता है
permission popup में granularity भी कम होती है। contacts list access की अनुमति देते समय वास्तव में कौन-से contacts access होते हैं? क्या सिर्फ names की अनुमति देकर phone numbers रोक सकते हैं? processing offline है या online? अगर online है, तो क्या internet access popup भी फिर से दिखाना चाहिए? फिर क्या किस तरह की internet activity हो रही है, उसे भी filter कर पाना चाहिए? इस रास्ते पर नीचे जाते-जाते अंततः हम Turing-complete permission system तक पहुँचते हैं, और अगर ऐसा न हो तो “privacy” में छेद रह जाते हैं
मुझे निश्चित रूप से याद है कि मैंने ऐसे boxes देखे हैं जो मैंने check नहीं किए थे, फिर भी checked थे। मैं इन्हें बंद करके फिर कभी चालू न होने देना चाहता हूँ, लेकिन vendor इसकी अनुमति नहीं देगा। इसलिए मैं Linux इस्तेमाल करता हूँ
मेरे मुफ़्त open source ऐप के users यह जानकर शायद हैरान होते हैं कि हमारे पास usage patterns के बारे में बिल्कुल कोई insight नहीं है
थोड़ी-सी anonymous telemetry बेहद मददगार हो सकती है, लेकिन इसे छूने का इरादा नहीं है
Opt-in न सिर्फ़ data की मात्रा बहुत घटा देता है, बल्कि चुने गए data में बड़ा bias भी डाल देता है, जिससे data बेकार हो जाता है। Opt-in करने वाले लोग शायद “typical user” का अच्छा sample नहीं होंगे
Opt-out, चाहे कोई भी safeguards या guarantees दिए जाएँ, कुछ users के लिए स्वीकार्य नहीं होगा, और वे इसे बहुत स्पष्ट रूप से बताएँगे
मैं समझता हूँ कि malicious actors के लिए telemetry का दुरुपयोग करना आसान है, और “anonymous data” आश्चर्यजनक रूप से कई तरीकों से बिल्कुल anonymous नहीं रह सकता। फिर भी ऐसा अफ़सोस होता है कि “इसीलिए हम अच्छी चीज़ें नहीं पा सकते”
error आने पर troubleshooting में मदद के लिए analytics data share करने का अनुरोध करने वाला toast दिखता था, और ज़ाहिर है, मना किया जा सकता था। शायद मैंने देखा हुआ सबसे अच्छा system था, लेकिन याद नहीं कि कौन-सी site थी
Apple, Microsoft, Google आदि analytics sharing को details के बिना अस्पष्ट रखते हैं, और यह भी साफ़ नहीं करते कि उसका उपयोग और दुरुपयोग कैसे हो सकता है। अधिकांश तो opt-out भी नहीं देते। मैं ऐसे organizations पर trust नहीं करता, लेकिन ज़िंदगी में उनसे पाला पड़ता है। Facebook या Twitter का इस्तेमाल न भी किया जा सकता है, और मैं सच में नहीं करता। Steam survey मुझे स्वीकार है
open source community को फ़ायदा देने वाली analytics जानकारी की कमी को दूर करने के लिए सहमति से बना analytics standard RFC एक कदम हो सकता है। यह ऐसा तरीका है जिसमें दोनों पक्ष agreed communication पर consent देते हैं
मेरे नज़रिए से metadata भी personal data है। users न हों तो data भी नहीं होगा और metadata भी नहीं। end user ही metadata की entropy है, इसलिए metadata और data का मालिक user है
इससे कौन-सा bias जुड़ता है, यह मुझे ठीक से नहीं पता
उदाहरण के लिए, “हमने यह app बनाया है और privacy को अहम मानते हैं। पिछले एक महीने के usage के दौरान इकट्ठा की गई जानकारी यह है। क्या app को बेहतर बनाने के लिए यह जानकारी हमें भेज सकते हैं?” पूछे, और collected data को human-readable रूप में दिखाए
सामान्य तौर पर मैं इसे एक practical solution मानता हूँ। भले ही opt-in group “typical user” से अलग हो, यह ईमानदार और ethical तरीके से मिल सकने वाला सबसे अच्छा data है। बिल्कुल data न होने से तो यह निश्चित रूप से बेहतर होना चाहिए, है न
opt-in cookie consent banner दिखाने वाली सभी websites और apps में यह स्थिति पहले से ही implicitly लागू है
desktop software को improve करना बहुत मुश्किल है, और खासकर Linux users उन patterns के प्रति विरोधी होते हैं जो improvement को संभव बनाते हैं
100% पूरी तरह सहमत:
“Computing privacy की गारंटी देने का एकमात्र तरीका है कि data को device से बाहर न भेजा जाए”
“Privacy breach का कितना जोखिम लेना है, यह हर user को खुद तय करना चाहिए। [...] बिना पूछे ‘feature’ चालू करके Apple user और उसकी preferences का सम्मान नहीं करता। मैं कभी नहीं चाहता था कि मेरा iPhone Apple के servers से संपर्क करे।”
Feature कितना भी obfuscated हो, “safe” हो, या अन्यथा “privacy-preserving” हो, इससे यह तथ्य नहीं बदलता कि निजी content से निकली कोई जानकारी पहले से सहमति लिए बिना transmit की जा रही है।
जानकारी protected हो, तब भी हर network query अपने-आप में जानकारी है। किसी खास समय पर कोई खास action किया गया—इसका timestamp; जैसे नई photo जोड़ते ही अगर इस service को कुछ भेजा जाता है, तो photo लिए जाने का तथ्य, उस समय की location information से correlate किया गया कोई खास स्थान आदि उजागर हो सकते हैं, और यह तो बस हिमखंड का सिरा है। स्पष्ट सहमति के बिना user के device से जानकारी transmit करना privacy breach है।
Metadata वाली दलील संभव लगती है, लेकिन उसमें भी कई assumptions हैं। खासकर यह assumption चाहिए कि Apple असल में OHTTP नहीं कर रहा और users ने कब photo ली, यह पता लगाने के लिए मिलीभगत कर रहा है। अगर आप मूलतः math पर भरोसा नहीं करते, तो uncertainty और शक कहां खत्म होंगे, समझ नहीं आता।
यह आसानी से verify किया जा सकता है कि photo लेने के तुरंत बाद ऐसा नहीं होता। पहला, network traffic यह दिखा देगा, और असल में ऐसा नहीं है। दूसरा, homomorphic encryption महंगा है, इसलिए ऐसा किया ही नहीं जा सकता। Photos आमतौर पर तुरंत sync नहीं करता, और ज्यादातर iPhone users Photos app में sync timing बताने वाली चीज देखकर यह जानते हैं। महंगे tasks आम तौर पर तब तक queue में रहते हैं जब तक device power से जुड़ा और Wi‑Fi पर न हो।
उदाहरण के लिए, मैंने bathtub में puppy की photo एक दोस्त को भेजी, तो उसके AirPods ने iPhone के जरिए बताया, “किसी ने bathtub में dog की photo भेजी है।” दोस्त ने भी इसे cool कहा और व्यक्तिगत रूप से मुझे भी यह useful feature लगता है। हालांकि, मुझे नहीं पता कि इसके लिए device के बाहर processing कितनी जरूरी होती है।
इन दो mitigations को देखते हुए, इस feature से personal data पाने के लिए पहले target के phone को compromise करके fake queries बंद करनी होंगी, और फिर relay को compromise करके queries को किसी specific IP address से correlate करना होगा।
अगर आप इतना सब कर सकते हैं, तो सच कहें तो ऐसी मेहनत बर्बाद करना मूर्खता होगी। क्योंकि iOS compromise का इस्तेमाल करके device से सीधे location data भेजवाया जा सकता है। Target के photo लेने का इंतजार करने, कई landmark lookups track करने, हर query से थोड़ा-थोड़ा extra data जमा करने और आखिर में target location identify करने जैसी झंझट की जरूरत नहीं।
यह सब XKCD 538 की याद दिलाता है।
https://machinelearning.apple.com/research/homomorphic-encry...
मुझे लगता है यह पिछली backlash के बाद CSAM scanning को धीरे-धीरे वापस लाने के लिए smoke screen है। Default-on behavior suspicious है।
[1] https://www.wired.com/story/apple-photo-scanning-csam-commun...
ऐसी fingerprinting को सिर्फ public landmarks तक reliably सीमित किया जा सकता है या नहीं, यह interesting सवाल है, और यह unclear implementation details पर depend करता है।
User-facing search भले ही ‘landmarks’ तक सीमित हो, क्या process device के अंदर ही सही, कई दूसरी चीजों के fingerprints पहले से बना रहा है? अगर ऐसा है, तो थोड़ी देर के लिए active होने वाला non-persistent malware भी रुचि की images तुरंत ढूंढ सकेगा—बिना उस व्यापक access और additional processing के, जिसकी सामान्यतः जरूरत पड़ती।
Global index जाहिर है उन दूसरे markers से भी match करेगा जिन्हें Apple matching योग्य समझता है, भले ही उन्हें user को return न किया जाए।
मुझे लगता है photos में landmarks खोजने वाला model local पर भी run किया जा सकता है, लेकिन इस पर मुझे 100% certainty नहीं है।
Cynical कारण दें तो इस scale का engineering feature बिना documents के plan नहीं किया जा सकता, और ऐसे documents court में जरूर सामने आएंगे।
Surface-level कारण यह है कि Apple सचमुच server participation की जरूरत वाला useful feature देना चाहता है।
Apple ब्लॉग पोस्ट के ज़्यादातर तकनीकी विवरण न समझ पाने वाली बात पर: उद्धृत हिस्सा मुझे समझ आया, और माफ़ कीजिए, लेकिन यह लेख आशावादी भी हो सकता था—“देखो, यह शानदार नई तकनीक!” वाले अंदाज़ में।
HN वाले अर्थ में हैकर-विरोधी Apple की प्रथाओं से मैं भी दूसरों जितनी ही नफ़रत करता हूँ, और इन्हीं वजहों से मेरे पास Apple डिवाइस भी नहीं हैं। लेकिन “उन्होंने privacy समस्या कैसे हल की, यह मायने नहीं रखता, मुझे यह private नहीं लगता” कहने से बात तथ्य नहीं बन जाती।
उद्धृत शब्दों को ज़्यादातर दूसरे लोग भी नहीं समझते, और यह भी पक्का नहीं कि वे वहाँ तक पढ़े भी होंगे, इसलिए यह अनुचित आलोचना जैसी लगती है।
उस समय मेरी समझ के मुताबिक, SUM जैसी operations encrypted numbers की list का कुल जोड़ निकाल सकती थीं। encryption के तरीके की वजह से values को decrypt किए बिना सबको जोड़ा जा सकता था, और result भी encrypted रहता था, जिसे owner decrypt करके ज्ञात accuracy वाला number पा सकता था।
अगर Apple homomorphic encryption का सही इस्तेमाल कर रहा है, तो Apple के पास phone से मिले data को देखने का कोई तरीका नहीं होना चाहिए। लेख में जिन बाकी चीज़ों का ज़िक्र है, वे metadata या side channels के ज़रिए information leak रोकने के उपाय हैं।
यह feature default रूप से on होना बहुत अच्छा नहीं है। upgrade के बाद user से पूछा जाना चाहिए था कि वह इसे on करना चाहता है या नहीं।
कई लोगों के लिए वह authority Apple नहीं है। मैं Apple की privacy policy पर सावधानी से भरोसा करता हूँ, लेकिन बहुत से लोग Apple पर भरोसा नहीं करते, और इसकी वजहें हैं।
इसलिए जब कोई Apple feature, जिसमें आपने opt in नहीं किया, personal data share करता है और Apple की technical explanation भी समझ में नहीं आती, तो privacy breach होने का एहसास बढ़ता है और इससे और ज़्यादा अविश्वास पैदा होता है। क्या फिर इसे अनुचित आलोचना कहा जा सकता है?
मेरा blog post एक ऐसे Apple user के नज़रिए से लिखा गया है जिसका भरोसा तोड़ा गया। सुरक्षित दूरी से technology को cool समझना ठीक है और वह सच में cool हो भी सकती है, लेकिन इसका मुख्य मुद्दे—user consent की अनुपस्थिति—से कोई लेना-देना नहीं है।
मुझे यह कुल मिलाकर ऐसा reasonable feature लगता है जिसे user privacy का काफ़ी ध्यान रखकर implement किया गया है। हालांकि शायद मैं explanation पर बहुत भरोसा कर रहा हूँ।
यह लेख कुल मिलाकर outrage bait जैसा दिखता है, और मुझे लगता है कि Hacker News पर आए ऐसे लेखों में “फँसने” से सावधान रहना चाहिए। यह वैसा ही है जैसे tabloids या Facebook पर outrage bait दिखने पर सावधान रहना पड़ता है।
लेख या इस thread की कुछ चिंताओं का Apple के revenue पर बहुत असर पड़ने की संभावना कम लगती है। असल में कुछ customers की चिंता data usage हो सकती है, और मेरा अनुमान है कि Low Data Mode में यह feature शायद off रहता होगा।
मुझे आश्चर्य है कि क्या इस तरह की समस्या privacy defaults जैसी setting से हल हो सकती है—ऐसा तरीका जिसमें journalists, activists, कुछ corporate IT departments, और मूल लेख जैसे लेख लिखने वाले लोग OS update के समय ऐसा विकल्प चुन सकें जिससे network से कम communication हो। समझने में आसान UI बनाना मुश्किल लगता है। iOS में पहले से “Lockdown Mode” है, लेकिन मुझे नहीं पता कि यह इस setting को प्रभावित करता है या नहीं।
UI में feature जिस तरह काम करता दिखता है, उससे ऐसा नहीं लगता। अगर user की action से feature activate होता है, तो क्या इसे भी server contact माना जाना चाहिए, यह सोचने वाली बात है।
कहानी यह थी कि ऐसी चीज़ें उस अप्रिय दूसरे OS से अलग, जिसे advertising company चलाती है, iPhone के अंदर ही रहती हैं। Apple कभी data बाहर नहीं निकालता, आप product नहीं हैं, और Apple आपकी परवाह करता है।
ऐसी घटना, अलग से देखें तो reasonable हो या न हो, उस narrative को पूरी तरह गिरा देती है। अगर वे विशाल billboards पर इतनी साफ़ झूठ बोलने को तैयार हैं, तो पता नहीं profit मांगने पर वे और क्या करेंगे।
मुझे लगता है कि मैंने अभी एक similar search-related setting देखी है, जो शायद iOS 18 से पहले नहीं थी।
Settings -> Search में जाने पर “Help Apple Improve Search” option है और यह default रूप से on है।
“Apple को Safari(!!), Siri, Spotlight में दर्ज की गई searches को ऐसे तरीके से store करने की अनुमति देकर Search सुधारने में मदद करें जो आपको उनसे link नहीं करता। Searches में general knowledge queries और music playback, directions जैसी requests शामिल हैं।”
अगर यह पहले भी था, तो यह फिर से on हो गया है।
यह भरोसा करने के लिए कि Apple का storage तरीका मेरी privacy को स्थिर रूप से protect करता है, मुझे बहुत सारे details चाहिए। बेशक, quote ऐसा दावा नहीं करता।
संदर्भ के लिए, macOS में photoanalysisd सर्विस background में चलती है और Apple Photos को एक बार भी खोले बिना photos को स्कैन करती रहती है
इसे SIP, यानी System Integrity Protection, बंद किए बिना disable नहीं किया जा सकता, और ऐसा करने के लिए कई बार reboot करने और warnings पार करने वाली जटिल प्रक्रिया चाहिए। SIP को फिर से चालू करते ही यह फिर active हो जाता है
किसी वजह से Apple, user चाहे या न चाहे, photo analysis को लेकर काफी उत्साही लगता है
अगर हर कोई अपनी photos से train किया हुआ local image generator चलाए, उसे थोड़ा बिगाड़ दे, और फिर Apple के photo hash collection को कचरे से भर दे तो क्या होगा
उसके बाद क्या?
यह बहुत अच्छा cleansing effect होगा। कौन कितना नाराज होता है, यह देखकर बहुत कुछ पता चलेगा
यह मामला COVID के दौर में Apple और Google के privacy-preserving Exposure Notification System पर हुए गुस्से की याद दिलाता है
बिना tracking किए exposure की सूचना दी जा सकती है, यह बात intuitive नहीं लगती, लेकिन technology ने सच में यह संभव किया था
यहां भी लेखक client-side vectorization, differential privacy, OHTTP relay, homomorphic encryption जैसी technologies के असर का ठीक से आकलन करने के बजाय privacy violation पर तुरंत प्रतिक्रिया पर निर्भर करता दिखता है
हालांकि मैं 100% सहमत हूं कि ऐसी feature के लिए Apple को पहले user consent मांगना चाहिए
अगर कोई source code link दे दे, तो मैं internet पर किसी अनजान व्यक्ति की बात मानने के बजाय देख सकता हूं कि यह ठीक-ठीक क्या करता है
और बेहतर तो यह होगा कि मुझे इसे खुद compile करने दिया जाए
“Apple blog post की technical details का ज्यादातर हिस्सा समझ नहीं आता” वाली बात पर, मैं समझता हूं
Client-side vectorization: photo को locally process करके भेजने से पहले ऐसा vector representation तैयार किया जाता है जिसे reverse नहीं किया जा सकता। इसे meaning-based hash जैसा समझ सकते हैं
Differential privacy: भेजने से पहले vector में काफी noise जोड़ा जाता है। इतना कि vector reverse-lookup करना संभव न हो। यहां noise level ε = 0.8 है, जो privacy के लिहाज से काफी अच्छा है
OHTTP relay: data किसी third party के जरिए भेजा जाता है, इसलिए Apple को IP address पता नहीं चलता। content encrypted होता है, इसलिए third party भी कुछ नहीं सीख पाती। “IP X Apple Photos user है” इतना expose होने का जोखिम है, लेकिन library का content नहीं पता चल सकता
Homomorphic encryption: lookup operation encrypted data पर server में किया जाता है। Apple vector content या response content को decrypt नहीं कर सकता, और सिर्फ client ही lookup result को decrypt कर सकता है
अच्छी privacy design ऐसी ही दिखती है। इसमें privacy protection की कई layers हैं, और पीछे की तीन में से कोई एक भी privacy protection के लिए काफी होनी चाहिए
“privacy violation risk के लिए अपनी tolerance level individual user को तय करनी चाहिए” वाली दलील पर, लेखक Apple security researcher जैसा दिखता है, फिर भी वह यहां कह रहा है कि वह informed choice नहीं कर सकता
सही फैसला क्या है, यह पक्का नहीं है। लेकिन “इसलिए computing privacy की guarantee देने का एकमात्र तरीका data को device से बाहर न भेजना है” वाला निष्कर्ष सच नहीं है। service इस्तेमाल करते हुए भी privacy देने वाले tools हैं, जैसे differential privacy और homomorphic encryption। ये बहुत जटिल हैं और user realistically risk का मूल्यांकन नहीं कर सकता, लेकिन अगर आप ऐसी features चाहते हैं जिन्हें disk से बड़े dataset या frequently changing content की जरूरत है, तो ये tools जरूरी हैं
कई users ऐसी feature से सहमत हो सकते हैं। जैसा कहा, यह बहुत सुरक्षित भी हो सकती है। लेकिन समस्या यह है कि सबको default रूप से consent देने वाला माना जा रहा है
user को “यह feature बेहतर search के लिए आपकी photos के बारे में data Apple servers पर भेजती है” समझने के लिए PhD की जरूरत नहीं है
privacy protection जटिल है, यह user choice हटाने को justify नहीं करता। उस logic से तो किसी भी technical feature के लिए user से पूछना ही नहीं चाहिए
बहुत से privacy-conscious users एक सरल सिद्धांत मानते हैं: protection method चाहे जो हो, वे control करना चाहते हैं कि device से बाहर क्या जाता है
“समझाना बहुत complex है” वाली दलील किसी भी privacy-invasive default को justify कर सकती है। क्या GPS technology समझाना बहुत complex है, इसलिए location services default on रखी जा सकती हैं—इस logic पर भी आप वही standard लागू करेंगे
असली समाधान सरल है। feature को आसान भाषा में समझाएं, benefits highlight करें, privacy protections का overview दें, और user को चुनने दें। Apple पहले से ही कई अन्य features में ऐसा करता है। default off और opt-in, नीचे की protections कितनी भी मजबूत हों, privacy-respecting design के core principles हैं
Jeff Johnson Apple platforms के लिए apps, खासकर Safari extensions, develop करते हैं और Apple को लेकर अपनी असुविधाएं अक्सर blog पर लिखते हैं, लेकिन वे security researcher नहीं हैं