அசாதாரணமாக உயர்ந்த தனியுரிமைச் சுமையுள்ள iPhone குறைபாட்டை Apple patch செய்தது

iPhone-இன் push notification database-இல் Signal செய்திகள் சில துண்டுகளாக இருந்துவிடக்கூடிய bug-ஐ Apple சரிசெய்துவிட்டதாக கூறுகிறது. இது encrypted messaging மற்றும் disappearing chats மீது நம்பிக்கை வைக்கும் பல பயனர்கள் வைத்திருக்கும் எதிர்பார்ப்புகளுக்கு நேரடியாக எதிரானது. இந்த issue, செய்திகளின் நகல்களை investigators ஒரு குற்றவாளியின் phone-இல் இருந்து மீட்டெடுக்க முடிந்ததாக reporting மற்றும் courtroom testimony சுட்டிக்காட்டிய பிறகு அதிக கவனம் பெற்றது; app ஏற்கனவே delete செய்யப்பட்டிருந்தாலும் அது சாத்தியமாக இருந்தது.

இந்த fix முக்கியமானது, ஏனெனில் இது Signal-இன் encryption transit-இல் உடைந்தது என்பதைக் குறித்து அல்ல. பிரச்சனை device-உள்ளே இருந்தது: retain செய்யப்படக்கூடாத notification content, Apple கூறியபடி, ஒரு logging issue காரணமாக accessible ஆக இருந்திருக்கலாம். நடைமுறையில் இதன் பொருள், sensitive message previews பயனர்கள் நியாயமாக எதிர்பார்த்ததைவிட நீண்ட நேரம் உயிருடன் இருக்கக்கூடும், messages disappear ஆகுமாறு அமைக்கப்பட்டிருந்தாலும் கூட.

Apple-ன் படி என்ன தவறு நடந்தது

Apple-ன் படி, deletion-க்கு குறிக்கப்பட்ட notifications device-இல் எதிர்பாராத வகையில் retain ஆகலாம். push notifications இவ்வாறு ஒருபோதும் சேமிக்கப்படக் கூடாது; ஆனால் logging problem data-ஐ சரியாக redact செய்யவில்லை என்று நிறுவனம் கூறியது. Apple இப்போது இந்த behavior-ஐ நிறுத்தி, installationக்குப் பிறகு inadvertently preserved notifications-ஐ அகற்றும் update ஒன்றை வெளியிட்டுள்ளது.

Signal இந்த மாற்றத்தை பொது வெளியில் வரவேற்று, Apple விரைவாக செயல்பட்டதாகவும் issue-ன் தீவிரத்தை உணர்ந்ததாகவும் கூறியது. மேலும் users patch install செய்தவுடன் iOS-இல் Signal users-ஐ பாதுகாக்க கூடுதல் manual நடவடிக்கைகள் தேவையில்லை என்றும் நிறுவனம் தெரிவித்தது. Signal-ன் update விளக்கம் தெளிவானது: patch install செய்யப்பட்ட பிறகு, முன்பு preserve செய்யப்பட்ட notifications delete செய்யப்படும், மேலும் deleted applications-க்கு வரும் future notifications retain செய்யப்படாது.

இது ஏன் வெறும் technical bug report-ஐ விட அதிகமாகப் பேசப்பட்டது

Signal போன்ற encrypted apps பெரும்பாலும் device-இல் மீட்கக்கூடிய message data அளவை குறைக்க விரும்பும் மக்களால் பயன்படுத்தப்படுகின்றன என்பதால் இந்த சம்பவம் பெரும் கவனம் பெற்றது. app-இற்கு வெளியே system database-இல் message content நீடிக்க முடியும் என்பது அந்த ஊகத்தை குலைத்தது. மேலும் app-ன் privacy promises மற்றும் operating system செய்த preview-களை உண்மையில் எவ்வாறு கையாளுகிறது என்பதற்கிடையேயான எல்லையையும் அது மங்கச் செய்தது.

அந்த இடைவெளி முக்கியமானது. End-to-end encryption, செய்திகள் பரிமாற்றத்தின் போது பாதுகாக்கப்படுவதையும் transit-இல் யார் படிக்க முடியும் என்பதையும் கட்டுப்படுத்துகிறது. ஆனால் message preview lock screen-இல் அல்லது notification center-இல் தோன்றியவுடன், operating system privacy chain-இன் ஒரு பகுதியாகிறது. OS அந்த preview-ஐ திட்டமிட்டதைவிட நீண்ட நேரம் சேமித்தால், messaging app design-படி இயங்கினாலும், பயனரின் privacy model மாறிவிடுகிறது.

அறிக்கையில் குறிப்பிடப்பட்ட FBI notification data மீட்டெடுத்தது இந்த issue-க்கு law-enforcement கோணத்தை வழங்கி, உடனடியாக stakes-ஐ உயர்த்தியது. privacy advocates-க்கு முக்கியமான கவலை, ஒரு குறிப்பிட்ட வழக்கில் authorities device data-ஐ சட்டபூர்வமாகப் பெற முடியுமா என்பதல்ல. delete செய்யப்பட்ட apps மற்றும் disappearing messages local traces அனைத்தையும் நீக்கிவிடும் என்ற தவறான நம்பிக்கையின் அடிப்படையில் users முடிவுகள் எடுக்கக்கூடும் என்பதே.

பாதுகாப்பான messaging-க்கு பரந்த பாடம்

இந்த சம்பவம் secure communication என்பது ஒரே app-இன் உள்ளேயுள்ள encryption protocol-ஐ மட்டும் சார்ந்ததல்ல என்பதை நினைவூட்டுகிறது. Privacy-யை operating system, notification handling, cloud backups, lock-screen previews, அல்லது app-ன் core cryptography-க்கு வெளியே உள்ள convenience features பலவீனப்படுத்தலாம். ஒரு system அதன் leak ஆகும் மிகக் குறைந்த layer போலவே private ஆகும்.

அதனால்தான் Apple-ன் fix-க்குப் பிறகும், சில users message previews-ஐ முழுமையாக நிறுத்துவது போன்ற கடுமையான நடைமுறைகளைப் பற்றி விவாதித்து வருகின்றனர். வழங்கப்பட்ட செய்திக் குறிப்புப்படி Signal users இடையே இந்த கவலை இன்னும் நீடிக்கிறது. Apple-ன் patch கண்டறியப்பட்ட logging issue-ஐ சரிசெய்கிறது, ஆனால் sensitive content எதிர்பாராத இடத்தில் தங்கி இருக்கலாம் என்பதை users அறிந்தவுடன் நம்பிக்கையை மீட்டெடுப்பது எவ்வளவு கடினம் என்பதை பொதுமக்களின் எதிர்வினை காட்டுகிறது.

Apple மற்றும் மற்ற platform operators-க்கு இதிலிருந்து ஒரு product-design பாடமும் உள்ளது. இன்றைய smartphones வசதிக்காக தனிப்பட்ட உரையாடல்களின் சிறு துணுக்குகளை அடிக்கடி காட்டுகின்றன; app-ஐத் திறக்காமல் முக்கியமான செய்திகளைப் படிக்க users பழகிவிட்டனர். ஆனால் content-ஐ system-level interfaces-க்கு உயர்த்தும் ஒவ்வொரு convenience feature-உம் அந்த content-க்கான இன்னொரு சாத்தியமான பதிவையும் உருவாக்குகிறது. அந்த பதிவுகள் தவறாக கையாளப்பட்டால், privacy damage ஆரம்ப வடிவமைப்பு நோக்கத்தைவிட அதிகமாக இருக்கலாம்.

இப்போது என்ன மாறுகிறது

Signal-ஐ நம்பும் iPhone users-க்கு உடனடி takeaway எளியது: தொடர்புடைய Apple software update-ஐ install செய்யுங்கள். வழங்கப்பட்ட source material-ன் படி, அந்த update தவறுதலாக preserve செய்யப்பட்ட notifications-ஐ delete செய்கிறது மற்றும் deleted applications-க்கான அதே retention behavior தொடராமல் தடுக்கும். patch செயல்பட வேறு எதையும் செய்யத் தேவையில்லை என்று Signal குறிப்பிட்டுள்ளது.

பெரிய takeaway சற்றே மனச்சோர்வானது. Messaging privacy என்பது ஒரு app end-to-end encryption அல்லது disappearing messages-ஐ விளம்பரப்படுத்துகிறதா என்பதாலேயே தீர்மானிக்கப்படுவதில்லை. அதைச் சுற்றியுள்ள ecosystem previews, logs, storage, மற்றும் deletion-ஐ எவ்வாறு கையாளுகிறது என்பதாலும் அது தீர்மானிக்கப்படுகிறது. Apple-ன் fix ஒரு gap-ஐ மூடுகிறது, ஆனால் அதே சமயம் digital privacy பற்றிய இன்னும் நிலையான உண்மையை வெளிப்படுத்துகிறது: ஒரு நொடிக்கு திரையில் தெரிந்தது, நாம் நினைப்பதைவிட நீண்ட நேரம் எங்கோ இருந்திருக்கலாம்.

  • சில notifications, அவை நீக்கப்பட வேண்டியிருந்தும், iPhones-இல் எதிர்பாராத வகையில் retain ஆக logging issue காரணமாக இருந்ததாக Apple கூறுகிறது.
  • இந்த issue Signal message previews-ஐ பாதித்தது; app நீக்கப்பட்ட பிறகும் data accessible ஆக இருக்க முடிந்தது.
  • patch install செய்தால் preserved notifications delete ஆகி, எதிர்காலத்தில் deleted applications-க்கு மீண்டும் அதே retention நடக்காது என்று Signal கூறுகிறது.

இந்தக் கட்டுரை Ars Technica-வின் செய்திக் கவரேஜ் அடிப்படையில் எழுதப்பட்டது. மூலக் கட்டுரையைப் படிக்கவும்.

Originally published on arstechnica.com