Forscher üben Kritik an Apples Implementierung von differentieller Privatheit

Forscher der University of Southern California, der Indiana University und der chinesischen Tsinghua University haben Apples Implementierung von Differential Privacy in einem Paper (PDF) kritisiert. Die Forscher kritisieren den Umgang mit Privatsphäre und unterstellen dem Unternehmen, dass mit der eigenen Implementierung der differentiellen Privatheit ein grosses Risiko eingegangen werde.

Thomas Meichtry

Differentielle Privatheit ist eine Methode, die es erlaubt Daten von Kunden zu analysieren, ohne sie dabei einem spezifischen Kunden zuordnen zu können. Um dies zu erreichen, werden diverse Stördaten in die gesammelten Daten eingemischt, so soll es unmöglich werden, die Daten einem spezifischen Kunden zuordnen zu können. Als genereller Messwert der Effektivität einer solchen Daten-Störung, wird der sogenannte «Epsilon»-Wert benutzt. Je kleiner dieser Wert, desto grösser der Schutz. Als optimaler Wert gilt der Wert 1 – alle Werte darüber gelten als potentiell unsicher.

Auf differentielle Privatheit setzt Apple bei verschiedenen Diensten. Beispielsweise in «Fotos», beim digitalen Assistenten «Siri», oder bei den Vorschlägen in «Karten», in «News», bei der Autokorrektur oder in «Notizen».

Um zu überprüfen, wie erfolgreich die Daten-Herkunft verschleiert wird, haben die Forscher der Universitäten mithilfe von Reverse Engineering für Apples Betriebssysteme ein Epsilon-Wert berechnet. Für macOS wurde ein Epsilon von 6 und für iOS 10 ein Epsilon von 14 berechnet. Beide Werte sind deutlich grösser als den von Sicherheitsforschern vorgeschlagenen sicheren Wert von 1 und implizieren deshalb eine schwache Verschleierung.

Lesetipp: Apple will den Komfort künstlicher Intelligenz ohne Einbussen für die Privatsphäre Kolumne über Differential Privacy bei Apple (15. Juni 2016)

Apple hat inzwischen auf die Studie der Forscher geantwortet. In der Stellungnahme kritisiert der Mac-Hersteller die Epsilon-Berechnung der Forscher. Es sei nicht möglich, die Epsilon-Werte der einzelnen Daten zusammenzurechnen und so einen totalen Epsilon-Wert für einen Upload zu erhalten, wie dies die Forscher versucht haben. Auch verneint das Unternehmen vehement, dass die Daten-Herkunft mit der Differentielle-Privatheit-Implementierung des Unternehmens zurück zum Kunden verfolgt werden könne.

Seit dem kürzlich veröffentlichten Betriebssystem macOS 10.13 «High Sierra» wird die Methode der differentiellen Privatheit auch bei Safari 11 eingesetzt. Mit einer anonymen Datensammlung über Webseiten wird in Safari 11 das Cross-Site-Cookie-Tracking und das automatische Abspielen von Werbevideos verhindert.

Gönner-Abo

Ab CHF 5.– im Monat

👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.

macprime unterstützen