12 Juli, pers belum secara resmi mengkonfirmasi laporan bahwa Facebook
telah mencapai kesepakatan dengan Komisi Perdagangan Federal AS mengenai kebocoran informasi pengguna. Topik utama investigasi FTC adalah
tindakan Cambridge Analytica, yang pada tahun 2015 menerima data dari puluhan juta pengguna Facebook. Facebook dituduh tidak cukup melindungi privasi pengguna, dan jika pesan dikonfirmasi, jejaring sosial akan membayar komisi negara bagian AS, denda terbesar dalam sejarah $ 5 miliar.
Skandal Facebook dan Cambridge Analytica adalah yang pertama, tetapi tidak berarti contoh terakhir dari membahas masalah teknis dengan metode yang sepenuhnya non-teknis. Dalam intisari ini, kita akan melihat beberapa contoh terkini dari diskusi semacam itu. Lebih khusus, bagaimana masalah privasi pengguna dibahas tanpa memperhatikan fitur spesifik dari pengoperasian layanan jaringan.
Contoh Satu: Google reCaptcha v3Versi baru
alat kontrol bot Google
reCaptcha v3 diperkenalkan
pada Oktober 2018 . Versi pertama "captcha" dari Google membedakan robot dari orang-orang dalam pengenalan teks. Versi kedua mengubah teks menjadi gambar, dan kemudian - menunjukkan hanya kepada mereka yang dia anggap mencurigakan.
Versi ketiga tidak meminta apa pun, terutama mengandalkan analisis perilaku pengguna di situs web. Setiap pengunjung diberi peringkat tertentu, berdasarkan pemilik situs dapat, misalnya, memaksakan permintaan otorisasi melalui ponsel jika ia menganggap login tersebut mencurigakan. Segalanya tampak baik-baik saja, tetapi tidak cukup. Pada 27 Juni, publikasi Fast Company menerbitkan
artikel panjang di mana, merujuk pada dua peneliti, itu mengidentifikasi area masalah reCaptcha v3 dalam hal privasi.
Pertama, ketika menganalisis versi terbaru CAPTCHA, ditemukan bahwa pengguna yang masuk ke akun Google, menurut definisi, mendapatkan peringkat yang lebih tinggi. Demikian pula, jika Anda membuka situs web melalui VPN atau jaringan Tor, Anda cenderung ditandai sebagai pengunjung yang mencurigakan. Akhirnya, Google merekomendasikan untuk menginstal reCaptcha di semua halaman situs web (dan bukan hanya halaman yang Anda perlukan untuk memverifikasi pengguna). Ini memberi lebih banyak informasi tentang perilaku pengguna. Tetapi fitur yang sama ini secara teoritis memberi Google sejumlah besar informasi tentang perilaku pengguna di ratusan ribu situs (menurut Fast Company, reCaptcha v3 dipasang di 650 ribu situs, beberapa juta menggunakan versi sebelumnya).
Ini adalah contoh khas dari diskusi ambigu teknologi: di satu sisi, semakin banyak data yang dimiliki alat untuk melawan bot, semakin baik pemilik situs dan pengguna. Di sisi lain, penyedia layanan mendapatkan akses ke sejumlah besar data, dan pada saat yang sama mengontrol siapa yang harus langsung masuk ke data digital dan yang membuat hidup menjadi sulit. Jelas, pendukung privasi maksimum, berusaha untuk tidak menyimpan cookie yang tidak perlu di browser mereka, terus-menerus menggunakan VPN, tidak suka kemajuan ini sama sekali. Dari sudut pandang Google, tidak ada masalah: perusahaan mengklaim bahwa data captcha tidak digunakan untuk penargetan iklan, dan komplikasi kehidupan untuk driver bot adalah alasan yang baik untuk inovasi semacam itu.
Contoh Dua: Akses Data di Aplikasi AndroidPada akhir Juni, Komisi Perdagangan Federal AS yang sama mengadakan konferensi PrivacyCon. Laporan peneliti Serge Egelman dikhususkan untuk bagaimana pengembang aplikasi untuk Android memotong batasan sistem dan menerima data yang seharusnya tidak diterima secara teori. Dalam sebuah
studi ilmiah , 88 ribu aplikasi dari American Google Play Store dianalisis, di mana 1325 mampu menghindari keterbatasan sistem.
Bagaimana mereka melakukannya? Misalnya, aplikasi pemrosesan foto Shutterfly mendapatkan akses ke data geolokasi, bahkan jika pengguna melarang mereka melakukannya. Sederhana: aplikasi memproses geotag yang disimpan dalam foto yang aksesnya terbuka. Perwakilan pengembang secara wajar
berkomentar bahwa pemrosesan geotag adalah fungsi standar dari program yang digunakan untuk mengurutkan foto. Sejumlah aplikasi melewati larangan akses ke geolokasi dengan memindai alamat MAC dari titik Wi-Fi terdekat dan dengan demikian menentukan perkiraan lokasi pengguna.
Metode yang sedikit lebih “kriminal” untuk menghindari pembatasan ditemukan di 13 aplikasi: satu aplikasi dapat memiliki akses ke IMEI smartphone. Dia menyimpannya ke kartu memori, dari mana program lain yang tidak memiliki akses dapat membacanya. Jadi, misalnya, satu jaringan iklan dari China melakukannya, yang SDK-nya tertanam dalam kode aplikasi lain. Akses ke IMEI memungkinkan Anda mengidentifikasi pengguna secara unik untuk penargetan iklan berikutnya. Omong-omong, penelitian lain terhubung dengan akses universal ke data pada kartu memori: kemungkinan (secara teoritis)
penggantian file media ketika berkomunikasi dalam pesan Telegram dan Whatsapp terungkap. Akibatnya, aturan akses data dalam versi baru Android Q akan
semakin diperketat .
Contoh Tiga: ID Facebook dalam GambarBeberapa tahun yang lalu, tweet semacam itu bisa memicu, paling-paling, diskusi teknis untuk beberapa lusin posting, tetapi sekarang
posting blog Forbes menulis tentang itu. Sejak setidaknya 2014, Facebook telah
menambahkan pengidentifikasi sendiri ke metadata gambar
IPTC yang diunggah ke Facebook sendiri atau ke jejaring sosial Instagram. Pengidentifikasi Facebook dibahas secara lebih rinci di
sini , tetapi tidak ada yang tahu persis bagaimana jejaring sosial menggunakannya.
Mengingat latar belakang berita negatif, perilaku ini dapat diartikan sebagai "cara lain untuk memantau pengguna, tetapi seperti apa mereka bisa." Tetapi pada kenyataannya, pengidentifikasi dalam metadata dapat digunakan, misalnya, untuk larangan karpet konten ilegal, dan Anda dapat memblokir tidak hanya posting ulang dalam jaringan, tetapi juga skrip "mengunduh gambar dan mengunggahnya lagi". Fungsionalitas seperti itu mungkin bermanfaat.
Masalah diskusi publik tentang masalah privasi adalah bahwa fitur teknis sebenarnya dari suatu layanan sering diabaikan. Contoh paling jitu: diskusi tentang pintu belakang pemerintah dalam sistem enkripsi untuk pesan instan atau data pada komputer atau smartphone. Mereka yang tertarik pada akses bebas masalah ke data terenkripsi berbicara tentang perang melawan kejahatan. Pakar enkripsi berpendapat bahwa enkripsi tidak bekerja dengan cara ini, dan pelemahan yang disengaja dari algoritma kriptografi
akan membuatnya rentan terhadap semua orang . Tetapi setidaknya kita berbicara tentang disiplin ilmu yang berusia beberapa dekade.
Apa itu privasi, kontrol seperti apa terhadap data kami yang diperlukan, bagaimana memantau kepatuhan terhadap standar-standar seperti itu - tidak ada jawaban yang umum dan jelas untuk semua pertanyaan ini. Dalam semua contoh dalam posting ini, data kami dikumpulkan untuk beberapa fungsi yang bermanfaat, namun, manfaat ini tidak selalu untuk pengguna akhir (lebih sering untuk pengiklan). Tetapi ketika Anda melihat kemacetan lalu lintas dalam perjalanan pulang, ini juga merupakan hasil dari pengumpulan data tentang Anda dan ratusan ribu orang lainnya.
Saya tidak ingin mengakhiri posting dengan kesimpulan bodoh "itu tidak begitu sederhana", jadi mari kita coba dengan cara ini: semakin jauh, semakin sering pengembang program, perangkat dan layanan harus menyelesaikan tidak hanya masalah teknis ("bagaimana membuatnya bekerja"), tetapi juga secara sosial politis ("bagaimana tidak membayar denda, jangan baca artikel marah di media kepada diri sendiri dan jangan kalah bersaing dengan perusahaan lain di mana ada lebih banyak privasi setidaknya dalam kata-kata"). Bagaimana industri akan berubah dalam kenyataan baru ini? Apakah kita akan memiliki kontrol lebih besar atas data? Akankah pengembangan teknologi baru melambat karena "tekanan publik", yang membutuhkan waktu dan sumber daya? Evolusi ini akan kita amati.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.