| 18 сентября 2017 г. — 6:28 PT
Исследователи из трех университетов обвинили Apple в том, что она подвергает себя «огромному риску» с точки зрения безопасности пользовательских данных из-за, по их словам, плохой реализации дифференциальной приватности.
Дифференциальная приватность — это метод, позволяющий Apple и другим компаниям анализировать пользовательские данные таким образом, чтобы они были полностью анонимны. В данные вводится достаточно «шума», чтобы невозможно было сопоставить их с конкретным человеком.
Однако исследователи безопасности во второй раз поставили под сомнение эффективность реализации Apple на практике…
Профессор криптографии из Университета Джонса Хопкинса в прошлом году обвинил Apple в том, что она не провела адекватное тестирование своего подхода и использовала собственную реализацию, безопасность которой не могла быть независимо проверена, поскольку Apple отказалась делиться кодом.
Wired сообщает, что исследователи из Университета Южной Калифорнии, Университета Индианы и Пекинского университета Цинхуа пошли гораздо дальше. Они провели обратную инженерию части кода дифференциальной приватности, используемого Apple, и заявили, что защита настолько слабая, что бесполезная.
Если вы не знакомы с дифференциальной приватностью, то в прошлом году мы публиковали объяснение. Суть в том, что Apple собирает личные данные от всех, кто согласился, а затем добавляет в эти данные «шум», призванный сделать невозможным определение того, кто откуда взял данные.
Эффективность этого «шума» измеряется так называемым эпсилон-значением, где чем меньше число, тем выше уровень защиты. Большинство исследователей безопасности считают идеальным значением 1. Любое значение выше этого ставит конфиденциальность данных под угрозу. Исследователи говорят, что числа, используемые Apple, пугают.
Исследовательская группа определила, что реализация дифференциальной приватности в macOS использует эпсилон 6, а iOS 10 — эпсилон 14. По мере увеличения эпсилон-значения экспоненциально растет риск того, что конкретные данные отдельного пользователя могут быть установлены.
И это не только случайные исследователи придерживаются такого мнения, как утверждает статья Wired: один из изобретателей дифференциальной приватности, Фрэнк МакШерри, согласен.
«Что-либо значительно больше единицыничего обнадеживающего не гарантирует», — говорит МакШерри. «Использование эпсилон-значения 14 в день кажется мне относительно бессмысленным» в качестве меры предосторожности […]
«Apple наложила на то, как они взаимодействуют с вашими данными, своего рода наручники», — говорит он. «Просто оказалось, что эти наручники сделаны из бумажных салфеток».
МакШерри объясняет риск на очень практическом примере человека с редким заболеванием (один случай на миллион), загружающего данные из приложения «Здоровье».
После одной загрузки, замаскированной добавлением случайных данных, говорит МакШерри, аналитики компании смогут с 50-процентной вероятностью определить, есть ли у человека это заболевание. После двух дней загрузок аналитики будут знать об этом заболевании практически со 100-процентной уверенностью.
Apple отрицает это обвинение, заявляя, что исследователи фундаментально неверно поняли способ расчета эпсилон-значений. Компания заявляет, что они сложили различные эпсилон-значения, чтобы получить общую сумму для данного загрузки, предполагая, что все эти данные могут быть коррелированы Apple.
Apple утверждает, что не коррелирует эти различные типы данных — что она не уверена, *как* разрозненные типы данных, такие как использование эмодзи и данные о здоровье, могут быть осмысленно связаны. И добавляет, что она также не составляет профили отдельных лиц с течением времени, устанавливает ограничения на хранение данных, которые сделали бы такую корреляцию невозможной, и удаляет любые данные, такие как IP-адреса, которые могли бы использоваться в качестве уникальных идентификаторов для привязки любых выводов к конкретному человеку.
Исследователи утверждают, что это полагается на доверие пользователей к Apple в том, что она не будет злоупотреблять данными, в то время как вся суть дифференциальной приватности заключается в предоставлении математических гарантий того, что это *невозможно* сделать.
Мы провели опрос по дифференциальной приватности, когда Apple начала использовать ее для сбора данных о просмотре веб-страниц и данных о здоровье. В тот момент большинство из вас были либо на 100% или очень комфортно относились к тому, что Apple это делает, в то время как 9% были на 100% или очень некомфортно.
Мы связались с Apple для получения комментариев и обновим информацию в случае получения ответа. Если вы хотите отказаться от сбора данных Apple, вы можете сделать это в «Настройки» > «Конфиденциальность», затем прокрутить вниз до «Аналитика» и выключить переключатель «Делиться данными аналитики iPhone и Watch».
Проверьте 9to5Mac на YouTube для получения более свежих новостей об Apple: