ผู้ใช้ GrapheneOS ถูกแจ้งต่อหน่วยงานรัฐเพราะใช้ GrapheneOS

 (discuss.grapheneos.org)
2 คะแนน โดย GN⁺ 3 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • GrapheneOS เป็นระบบปฏิบัติการที่เสริมความแข็งแกร่งด้านความปลอดภัยและความเป็นส่วนตัว โดยประเด็นถกเถียงเริ่มจากข้อความในภาพจับหน้าจอคำตอบฝ่ายสนับสนุนลูกค้าของ Yoti ที่ระบุว่า “จะติดธงอุปกรณ์ที่รัน GrapheneOS โดยอัตโนมัติ และรายงานต่อหน่วยงานรัฐกับทีมความปลอดภัยโดยอัตโนมัติ”
  • ข้อกังวลหลักคือ หากบริการยืนยันอายุ/ตัวตนใช้การที่ผู้ใช้รัน GrapheneOS เองเป็นเหตุผลในการรายงาน ระบบปฏิบัติการที่เน้นความเป็นส่วนตัวอาจถูกปฏิบัติราวกับเป็น สัญญาณความเสี่ยงสูง
  • แอปสามารถระบุ OS และรุ่นอุปกรณ์ได้ผ่าน standard API, การตรวจสอบหน่วยความจำ, Hardware Attestation API และ Play Integrity และแทบไม่มีวิธีที่ใช้งานได้จริงในการซ่อนสิ่งนี้จากฝั่งแอป
  • ข้อโต้แย้งคือ การคาดการณ์อนาคตแบบดิสโทเปียจากคำพูดเกินจริงของเจ้าหน้าที่ซัพพอร์ตเพียงคนเดียวนั้นทำได้ยาก และมีแนวโน้มมากกว่าที่ Yoti จะตรวจพบการไม่ใช้ Google Mobile Services มากกว่าจะตรวจจับและบล็อก GrapheneOS โดยเฉพาะ
  • แนวทางรับมือเชิงปฏิบัติคือ แยกใช้เครื่อง stock Android ราคาถูกหรือรุ่นเก่าที่ไม่มี ข้อมูลอ่อนไหว สำหรับงานยืนยันตัวตนและแอปรัฐโดยเฉพาะ และทบทวนการซื้อสินค้าที่บังคับให้ต้องยืนยันตัวตน

การตั้งประเด็นและปฏิกิริยาเริ่มต้น

  • ภาพจับหน้าจอประสบการณ์กับฝ่ายสนับสนุนของ Yoti มีข้อความว่า “Yoti จะติดธงอุปกรณ์ที่รัน GrapheneOS โดยอัตโนมัติ และรายงานกรณีดังกล่าวต่อหน่วยงานรัฐและทีมความปลอดภัยโดยอัตโนมัติ”
  • กระทู้ Reddit ที่ถูกแชร์มาพร้อมกันเชื่อมโยงกับประสบการณ์ที่การใช้ GrapheneOS ถูกมองว่าเป็นปัญหาในกระบวนการยืนยันอายุของ Yoti
  • จุดโฟกัสของการตั้งคำถามคือ หาก GrapheneOS ถูกบริการอย่าง Yoti ระบุและแยกแยะได้ และบริการมองว่านี่เป็นเหตุให้รายงานต่อหน่วยงานบังคับใช้กฎหมาย ในสภาพแวดล้อมที่การยืนยันอายุ/ตัวตนขยายตัวขึ้น การใช้ GrapheneOS เองอาจกลายเป็น “heatscore”
  • ปฏิกิริยาบางส่วนมองว่าอยากให้ Sony เปลี่ยนพาร์ตเนอร์ยืนยันอายุ แต่เห็นว่าความเป็นไปได้นั้นต่ำมาก
  • ยังมีเสียงมองกระแสการยืนยันอายุ/ตัวตนในสหราชอาณาจักรและสภาพแวดล้อมทางกฎหมายที่เกี่ยวข้องว่าเป็นแบบออร์เวลเลียนหรือดิสโทเปีย

ความเป็นไปได้ในการระบุว่าเป็น GrapheneOS

  • มีคำอธิบายว่าอุปกรณ์ GrapheneOS สามารถถูก fingerprint ได้ เพราะมีฟีเจอร์บรรเทาการโจมตีจำนวนมาก
    • ตัวอย่างเช่น มีข้อชี้ว่าเกราะป้องกันอย่าง secure exec spawning ซึ่งระบบอื่นไม่มี อาจกลายเป็น side channel ได้
  • แอปสามารถขอใช้ Hardware Attestation API และตรวจเทียบ verifiedBootKey กับ boot keys ของ GrapheneOS เพื่อจับว่าเป็น GrapheneOS ได้
  • คำอธิบายอีกแบบระบุว่าแอปสามารถตรวจจับ OS ที่กำลังรันอยู่ได้ง่ายผ่าน standard API หรือการตรวจสอบหน่วยความจำของตัวเอง
    • คำอธิบายนี้เสริมว่าการตรวจจับดังกล่าวไม่ได้เกิดขึ้นเพียงเพราะ GrapheneOS เพิ่มฟีเจอร์ความเป็นส่วนตัว/ความปลอดภัย แต่ยังรวมถึงความแตกต่างของ OS ตาม OEM ของ Android และการระบุรุ่นอุปกรณ์ที่กำลังรันอยู่ได้ด้วย
    โฆษณา
  • มีคำอธิบายว่า Play Integrity สามารถตรวจสอบได้ว่ากำลังรันบนฮาร์ดแวร์ที่ Google รับรองและ stock OS ที่ Google รับรองหรือไม่ โดยตัวมันเองก็ใช้ Hardware Attestation API และมีแผนจะบังคับใช้สิ่งนี้
  • หากรันทุกแอปภายใน virtual machine ที่ไม่มี hardware acceleration และทำให้ทุกแอปเห็นเป็น OS เดียวกัน ก็อาจซ่อนรุ่นอุปกรณ์และ OS ของโฮสต์แบบ bare metal ได้ แต่ถ้ามีเพียง GrapheneOS ที่ใช้แนวทางนี้ ก็ยังซ่อนความเป็น GrapheneOS ไม่ได้อยู่ดี
    • มีคำอธิบายเพิ่มเติมว่าแอปจำนวนมากพยายามตรวจจับรูปแบบที่ถูกมองว่าเป็น virtualization, emulation หรือการดัดแปลงอื่น ๆ และหนึ่งในจุดประสงค์หลักของ Play Integrity API ก็คือการตรวจจับและห้ามสิ่งเหล่านี้

การประเมินและข้อโต้แย้งต่อการตอบสนองของ Yoti

  • คำวิจารณ์หนึ่งมองว่าบริษัทตรวจยืนยันอายุอาจมีท่าทีเป็นปฏิปักษ์ต่อโครงการที่ยกระดับความปลอดภัยและความเป็นส่วนตัวจริง ๆ และคำตอบของฝ่ายซัพพอร์ตสะท้อนทัศนคติที่ไม่รู้เรื่อง โดยมองว่าความปลอดภัย/ความเป็นส่วนตัวมีไว้สำหรับอาชญากรเท่านั้น
  • ความกังวลอีกด้านคือ ผู้ใช้อาจเพิ่งมารู้ตัวตนของผู้ที่จะได้รับรายงานหลังจากอัปโหลดเอกสารอ่อนไหวผ่าน GrapheneOS ไปแล้ว และความไม่ระบุตัวตนของกล่องเมล Proton อาจหายไปแล้ว
  • ข้อโต้แย้งที่หนักแน่นคือ กรณีนี้เป็นการปลุกปั่นความกลัวโดยอิงจากคำพูดเหลวไหลของเจ้าหน้าที่ซัพพอร์ต
    • การใช้ GrapheneOS ไม่ใช่เรื่องผิดกฎหมาย และมีความเป็นไปได้สูงมากว่าเจ้าหน้าที่ซัพพอร์ตแต่งเรื่องขึ้นเพื่อปิดทิกเก็ต
    • มีแนวโน้มต่ำที่ Yoti จะตรวจจับ GrapheneOS โดยเฉพาะหรือห้ามใช้งาน และมีแนวโน้มมากกว่าว่าจะเพียงตรวจพบสภาพแวดล้อมที่ไม่ได้ใช้ OS พร้อม Google Mobile Services แบบไม่แก้ไข
  • ยังมีความเห็นว่าการคาดการณ์อนาคตแบบดิสโทเปียจากคำพูดของเจ้าหน้าที่ซัพพอร์ตเพียงคนเดียวเป็นการกระโดดสรุปมากเกินไป

ข้อเสนอการรับมือและการแยกการใช้งาน

  • แนวทางเชิงปฏิบัติคือเตรียมโทรศัพท์ stock Android ราคาถูกหรือรุ่นเก่าที่ไม่มีข้อมูลอ่อนไหวไว้ต่างหาก
    • จัดเครื่องโดยไม่ใส่รายชื่อผู้ติดต่อ อีเมลที่มีบทสนทนาส่วนตัว แอปส่งข้อความ ฯลฯ
    • ใช้เป็นอุปกรณ์เฉพาะกิจคล้าย “หนังสือเดินทาง” สำหรับการยืนยันตัวตนหรือแอปรัฐที่อาจถูกบังคับให้ใช้เท่านั้น
    โฆษณา
  • แนวทางแยกการใช้งานคือ ใช้เครื่อง GrapheneOS สำหรับงานทั่วไปทั้งหมด แต่ไม่ใช้สำหรับการพิสูจน์ตัวตน
  • มีคำแนะนำให้คิดใหม่ว่าการยืนยันตัวตนกับบริษัทหนึ่งเพื่อเครื่องเกมคอนโซลเพียงเครื่องเดียวคุ้มค่าหรือไม่
  • มีข้อโต้แย้งว่าหากบริษัทเรียกร้องให้ทำสิ่งที่เราไม่ต้องการ ก็ควรตัดสินใจอย่างมีวุฒิภาวะด้วยการไม่ซื้อสินค้านั้น
  • มีข้อเสนอให้ถามตัวเองว่าเกม วิดีโอสตรีมมิง หรือคอนเทนต์ผู้ใหญ่ สำคัญกว่าความเป็นส่วนตัวและศักดิ์ศรีหรือไม่ และถ้าต้องถูกระบุตัวตนก็ควรมองหางานอดิเรกอื่น
  • มีข้อเสนอให้ติดต่อผู้ร่างกฎหมายเพื่อผลักดันให้ย้อนกระแสอย่างการยืนยันอายุและการบังคับใช้แอป Google

ความสงสัยต่อการยืนยันข้อเท็จจริงและกรณีแวดล้อม

  • มีปฏิกิริยาว่าหลายคนตั้งสมมติฐานว่าความปลอดภัย ความเป็นส่วนตัว และความไม่ระบุตัวตนมีไว้เพื่ออาชญากร
    • มีตัวอย่างว่าคนรู้จักที่ทำงานในหน่วยงานบังคับใช้กฎหมายประหลาดใจเมื่อเห็นคนใช้ GrapheneOS เพราะเคยคิดว่ามีแต่อาชญากรใช้ เหตุผลคือผู้ใช้ที่เขาเคยเจอมีแต่คนกลุ่มนั้น
    • มีตัวอย่างว่าได้อธิบายว่า GrapheneOS คืออะไร ทำไมถึงใช้ และทำไมจึงคิดว่าเป็น OS ที่ดีที่สุด
  • มีตัวอย่างว่าที่ทำงานต้องพยายามโน้มน้าวอย่างหนักไม่ให้บล็อก Tor exit IP และโดเมนสำหรับ email aliasing แบบครอบจักรวาล
  • มีการวิจารณ์แนวคิดที่โยงความเป็นส่วนตัวเข้ากับความเป็นอาชญากรด้วยอุปมา “มีแต่อาชญากรเท่านั้นที่ซ่อนห้องนอนไว้หลังผนัง”
  • มีความเห็นว่าผู้ทำงานด้านการบังคับใช้กฎหมายอาจเป็นเป้าหมายมากกว่าเพราะบทบาทอาชีพและภาพลักษณ์ จึงอาจได้รับประโยชน์จาก GrapheneOS มากยิ่งขึ้น
  • คอมเมนต์ใน Hacker News ที่ถูกอ้างถึงร่วมกันตั้งข้อสงสัยว่าเจ้าของโพสต์ต้นทางบน Reddit โพสต์เรื่องการยืนยันอายุ การหลบเลี่ยง และความเป็นส่วนตัวไว้มาก และยังซ่อนโปรไฟล์ด้วย
    • คอมเมนต์เดียวกันยังระบุว่าภาพจับหน้าจออีเมลตอบกลับของบริษัทอาจถูกแก้ไขได้ง่าย จึงยังไม่มั่นใจในเรื่องราวทั้งหมด
    • หากเป็นบริษัทตรวจยืนยันอายุ ก็ไม่น่าจะแชร์เหตุผลในการตรวจจับให้ผู้ใช้ที่ถูกบล็อกรู้ เพราะนั่นก็เหมือนบอกรายละเอียดสูตรลับให้กับอีกฝ่าย

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 3 시간 전
ความคิดเห็นจาก Hacker News

  • OP ของโพสต์ Reddit นี้เคยโพสต์เรื่องการยืนยันอายุ การหลบเลี่ยง และความเป็นส่วนตัวไว้เยอะมาก และตอนนี้ซ่อนเอาไว้แล้ว พอมีคนทักเรื่องนั้นในเธรด เจ้าตัวก็ซ่อนโปรไฟล์ แต่ยังค้นเจอได้ถ้ากูเกิลคำว่า “reddit PaiDuck”
    นี่ไม่ได้แปลว่าบริษัททำถูก แต่ให้ความรู้สึกว่าคนนี้พยายามทดสอบกับ บริษัทตรวจสอบอายุ หลายแห่งว่าจะดันการหลบเลี่ยงไปได้ไกลแค่ไหนจนโดนบล็อก อีกทั้งอีเมลตอบกลับจากบริษัทก็แก้ไขก่อนแคปหน้าจอได้ง่าย เลยยากจะมั่นใจว่าเรื่องทั้งหมดจริงไหม ถ้าฉันเป็นคนทำบริษัทตรวจสอบอายุ ฉันก็คงไม่บอกผู้ใช้ที่ถูกบล็อกเด็ดขาดว่าถูกจับได้อย่างไร เพราะมันก็เหมือนแจกสูตรลับนั่นแหละ

    • ตัวแทนของบริษัทบอกว่าพวกเขารายงานผู้ใช้ทุกคนที่ใช้ GrapheneOS โดยไม่มีเงื่อนไขเพิ่มเติม ซึ่งน่าจะเกิดขึ้นหลังจากอัปโหลดข้อมูลส่วนตัวไปแล้วด้วย และตรงนั้นแหละที่ ไม่ยุติธรรมอย่างร้ายแรง
    • ผมว่าการปล่อยให้คนซ่อนประวัติตัวเองได้เป็นการตัดสินใจที่แย่มาก
      https://arctic-shift.photon-reddit.com/search

  • “นี่เพื่อน มีใบอนุญาตใช้ระบบปฏิบัติการนั้นไหม?”
    สิ่งที่น่าตกใจในเรื่องนี้มีแค่ว่าผู้ใช้โดนตำรวจไปหาแล้วไม่ถูกตั้งข้อหาเป็น “เหตุการณ์ความมั่นคงไซเบอร์ที่ไม่ใช่อาชญากรรม” สหราชอาณาจักรกลายเป็นประเทศที่ เละเทะ จริง ๆ

    • ใช่เลย ตำรวจสามารถขอรหัสผ่านจากใครก็ได้ และถ้าไม่ให้ก็ส่งเข้าคุกได้
      ผมคงไม่ไปอยู่ที่นั่น สหรัฐฯ ก็มีปัญหาเยอะ แต่ถ้าเทียบกับหลายประเทศแล้ว เรื่องสิทธิพลเมืองยังถือว่าแข็งแรงพอสมควร
    • นี่แหละคือเป้าหมายสุดท้ายจริง ๆ และเป็นส่วนที่ผมกลัวที่สุดใน สงครามกับความเป็นส่วนตัว ต่อไปแม้แต่การพยายามยืนยันสิทธิความเป็นส่วนตัวของตัวเองก็อาจกลายเป็นเหตุให้น่าสงสัยได้
    • https://www.openbsd.org/lyrics.html#35
    • ตลกมากที่เห็นคนอังกฤษคอยปฏิเสธเรื่องนี้
    • อย่าพูดอะไรแนว “นี่เพื่อน มีใบอนุญาตใช้ระบบปฏิบัติการนั้นไหม?” เลย ได้โปรด

  • ถ้าทางการรู้ว่าฉันมี บัญชี Hacker News ก็จบเห่แน่

    • ตอนมัธยมผมเคยเอา The Hacker's Dictionary ไปโรงเรียนเพื่อจะให้เพื่อนดู แล้วครูก็ดันเห็น
      ไม่กี่สัปดาห์ต่อมาเกิดเหตุแฮ็กขึ้น มีการแก้ไขสเปรดชีตเกรดนักเรียนที่ครูทุกคนเข้าถึงได้ ทำให้เกรดของนักเรียนบางคนขึ้น และของบางคนลง ผมก็อยู่ฝั่งที่เกรดขึ้น ส่วนพวกที่ผมไม่ค่อยถูกกันก็อยู่ฝั่งที่เกรดลง ระหว่างสอบสวนผมถูกส่งกลับบ้านทันที แต่สุดท้ายก็ไม่มีอะไรเกิดขึ้น
      หลายปีต่อมาเพื่อนผมเปิดเผยเทคนิคขั้นสูงที่ใช้รู้รหัสผ่านของครูดนตรี ซึ่งก็คือเห็นโพสต์อิทใต้คีย์บอร์ดที่เขียนว่า “bassoon”
    • เรื่องจริงเลย ในปี 2022 บ้านผมในออสเตรเลียโดนตำรวจค้น 8 เดือนต่อมาพวกเขาบอกว่าผมไปรับอุปกรณ์ที่ยึดไว้คืนได้ และตำรวจผู้รับผิดชอบก็บอกว่ารายการไหนบ้างที่ทำให้เขาสงสัย
      1. ใช้ MEGA บอกว่าใช้แชร์ CSAM
      2. ใช้ virtual machine
      3. “มี Tor อยู่ในคอมพิวเตอร์ของผม” พูดแบบนั้นจริง ๆ ทั้งที่มันไม่สมเหตุสมผลเลย
        พวกเขาไม่รู้อะไรจริง ๆ อย่าประเมินต่ำไปว่าพวกเขาเข้าใจเรื่องนี้น้อยแค่ไหน การอธิบายว่าสิ่งนั้นไม่อันตรายก็มีโอกาสฟังเข้าหูพวกเขาเหมือนการรับสารภาพผิด
        มันเป็นประสบการณ์ที่ทำให้ตาสว่าง และหลังจากเรื่องนี้ผมกับญาติหลายคนก็เคารพใน ความสามารถ ของผู้บังคับใช้กฎหมายน้อยลงมาก
    • ตอนผมไปงานแฮกกาธอนในอีกประเทศหนึ่ง ผมยังกังวลเลยว่าจะอธิบายชื่อแบบนั้นกับเจ้าหน้าที่ตรวจคนเข้าเมืองยังไง โชคดีที่ไม่มีประเด็นนั้นขึ้นมา

  • พักเรื่องที่แหล่งข่าวนี้ไม่ใช่เว็บข่าวที่นักข่าวต้องเอาชื่อเสียงตัวเองมาค้ำประกันความจริง แต่เป็นโพสต์ Reddit ที่ลิงก์ภาพแคปข้อความไปก่อน
    ใครก็รายงานใครให้ “ทางการ” ได้ไม่ว่าด้วยเหตุผลอะไร แต่ไม่ได้แปลว่าทางการที่ไม่ระบุชื่อนั้นจะลงมือทำอะไรจริง และถ้าเรื่องนี้ไม่ใช่การปั่น ก็ยังแปลกมากที่ Yoti ไม่ระบุว่าพวกเขาส่งรายงานแบบนี้ไปให้ หน่วยงานบังคับใช้กฎหมาย ไหน

    • “เว็บข่าวที่นักข่าวต้องเอาชื่อเสียงตัวเองมาค้ำประกัน” เหรอ ได้เห็นชื่อเสียงของ “นักข่าว” ทุกวันนี้บ้างไหม หนังสือพิมพ์อังกฤษหลายแห่งชอบเอาโพสต์จากฟอรัมอย่าง Reddit หรือ Mumsnet มาเขียนซ้ำตรง ๆ อยู่บ่อย ๆ

  • คำตอบนั้นดูเหมือนสร้างจากข้อความสำเร็จรูป และส่วนที่ว่า “ถูกรายงานต่อทางการ” ก็น่าจะจริงพอ ๆ กับตอน sudo พูดแบบเดียวกัน

  • https://postimg.cc/3kVXKzhk

    • พูดถึง sudo ก็ดู https://xkcd.com/838/
    • sudo ทำแบบนั้นเป็นค่าเริ่มต้นจริง ๆ ผมเกลียดมากที่บนคอมตัวเอง ผมกลับได้รับอีเมลรายงานเพราะความพยายามยืนยันตัวตนที่ล้มเหลวของตัวผมเอง

  • ถ้าอ่านข้ออ้างนี้ละเอียดขึ้น ข้อความจริงของ Yoti คือ
    “เนื่องจากความกังวลด้านความปลอดภัยในอดีต Yoti จะทำเครื่องหมายอัตโนมัติสำหรับความพยายามยืนยันหลายครั้งและอุปกรณ์ทุกเครื่องที่รัน GrapheneOS กรณีเหล่านี้จะถูกรายงานอัตโนมัติทั้งต่อทางการและทีมความปลอดภัย”
    จากนั้นตามด้วย
    “ขออภัย เนื่องจากมีความพยายามหลายครั้งจากอุปกรณ์เครื่องนี้ บัญชีจึงถูกทำเครื่องหมายว่าเป็นกิจกรรมต้องสงสัย”
    ดังนั้นคำว่า “and” ดูเหมือนจะเป็นการพิมพ์ผิด ไม่อย่างนั้นระบบคงไม่ยอมให้มีการพยายามมากกว่าหนึ่งครั้งบนอุปกรณ์ GrapheneOS ตั้งแต่แรก
    กล่าวคือ ถ้ามีพยายามยืนยันตัวตนหลายครั้งบน อุปกรณ์ GrapheneOS บัญชีก็จะถูกทำเครื่องหมาย

    • ขอแสดงความยินดีกับ GrapheneOS ที่ได้รับการยอมรับว่าเป็นระบบปฏิบัติการยุคใหม่ ถ้าเป็น Android รุ่นเก่าหรือ OS X คนก็คงคิดว่าเป็นแค่พวกเบบี้บูมเมอร์งง ๆ ไปแล้ว

  • ตลอด 15 ปีที่ผ่านมา สื่อตะวันตกโห่ร้องเรื่อง “จีน” กันมาตลอด แต่พอเรื่องแบบนี้เกิดขึ้นในตะวันตก ขณะที่ในจีนกลับใช้ระบบปฏิบัติการอะไรก็ได้อย่างเสรีโดยไม่เสียเปรียบ มันก็น่าประหลาดใจ ทำไมถึงเป็นแบบนี้? กำลังเกิดอะไรขึ้นกันแน่?

    • จีนมีการควบคุมในอีกระดับหนึ่งโดยสิ้นเชิง ที่นั่นจะใช้ระบบปฏิบัติการมือถืออะไรก็ได้ก็จริง เพราะพวกเขาสามารถเฝ้าดูการเชื่อมต่ออินเทอร์เน็ตทั้งหมด ดูว่าคุณดาวน์โหลดอะไร และบล็อกเนื้อหาทั้งหมดที่พวกเขาเห็นว่าไม่เหมาะสมได้ โดยแทบไม่มีช่องทางอุทธรณ์เลย นอกจากนี้ยังสามารถจับกุมคนและส่งไปค่ายแรงงานได้ด้วย
      ไม่ได้จะปกป้องการกระทำของตำรวจอังกฤษตรงนี้นะ แต่คำพูดทำนองว่า “แย่พอๆ กับจีน” มักถูกพูดซ้ำบ่อยๆ ทั้งที่ส่วนใหญ่มันไม่จริง
    • ส่วนที่พูดถึงจีนนั้นไม่เป็นความจริง แต่ที่บอกว่าประเทศตะวันตกถูกทำให้ดูเสรีกว่าความเป็นจริงนั้นถูกต้อง
      ถ้าคุณวิจารณ์ Xi หรือประท้วงในจีนไม่ได้ ก็ลองไปวิจารณ์กฎหมายหรือประท้วงในส่วนอื่นของโลกดู โดยเฉพาะสิ่งที่ทำกันในนามของความเป็นส่วนตัว และผมยังจำได้ว่าอังกฤษเคยส่งคนเข้าคุกเพราะโพสต์บน Facebook เรื่องแบบนั้นควรจะเกิดในประเทศโลกที่สามเท่านั้น
      เดิมทีอังกฤษก็ไม่ได้มีอะไรให้อวดอยู่แล้ว และตอนนี้สหรัฐฯ ก็เริ่มทำแบบเดียวกัน ซึ่งน่ากลัวมาก
      ก่อนเดินทางไปประเทศไหน ตอนนี้สิ่งแรกที่ผมทำคือเช็กบัญชีโซเชียลของตัวเอง แล้วลบสิ่งที่อาจถูกตรวจตอนอยู่สนามบิน เรื่องแบบนี้เคยถูกมองว่าไม่ควรเกิดในประเทศพัฒนาแล้ว
      เพื่อนๆ ยังบอกว่าเรื่องยังไม่ได้แย่ขนาดนั้น แต่การได้อ่านโพสต์แบบนี้บน HN เดือนละครั้งตลอดช่วงไม่กี่ปีที่ผ่านมา มันน่ากลัวจริงๆ
    • อาจเป็นเพราะใน 50 ประเทศตะวันตกไม่มีใครสนใจเรื่องนี้ และมีข้อยกเว้นแค่อังกฤษประเทศเดียวที่ทำเรื่องแปลกๆ กับการดูแลความสงบเรียบร้อยบนโลกออนไลน์ แม้แต่ในอังกฤษเอง ศาลก็ไม่ได้ตัดสินลงโทษคนเพราะเรื่องแบบนั้น เท่าที่ได้ยินมีแต่การดำเนินการของตำรวจ
      อังกฤษกำลังถดถอยอย่างหนักหลัง Brexit และบางทีอาจกลัวความไม่สงบของประชาชนด้วย
      ในจีน ถ้าคุณทำกิจกรรมต่อต้านรัฐ คุณจะถูกส่งไป ค่ายปรับทัศนคติ หรืออีกทางหนึ่งก็อาจเป็นเพราะเหตุการณ์ในจีนเป็นเรื่องที่คาดเดาได้อยู่แล้วเลยไม่มีคุณค่าพอจะเป็นข่าว
    • แต่แรกเริ่มมันก็ไม่เคยเรียบง่ายแบบ “ตะวันตกคือฝ่ายดี จีนคือฝ่ายร้าย” อยู่แล้ว
      กรอบโฆษณาชวนเชื่อที่รัฐบาลสหรัฐฯ ผลักดันนั้นใช้ได้ผลมานานเกือบศตวรรษ แต่ตอนนี้ไม่ใช่อีกต่อไปแล้ว

  • ในคอมเมนต์ของโพสต์นั้นมีคนหนึ่งลิงก์ FAQ ยาวๆ เกี่ยวกับวิธีที่แอประบุได้ว่าเป็น GrapheneOS [1] และเรื่องอื่นๆ ผมไม่เข้าใจว่าทำไมถึงไม่พยายาม ปลอมตัว ให้เหมือน Android/Google แบบโรงงานในทุกจุดที่ทำได้
    [1] https://grapheneos.org/faq#:~:text=Apps%20can%20detect%20tha...

    • เป้าหมายคือทำให้การใช้ ระบบปฏิบัติการทางเลือก กลายเป็นเรื่องปกติ ทันทีที่คุณหาทางเลี่ยงและไม่ตั้งคำถามกับปัญหา ก็เท่ากับคุณยอมรับจุดยืนของอีกฝ่าย และสุดท้ายทางเลี่ยงก็จะหมดลงอยู่ดี
      คำตอบแบบ “ก็ยังทำ X ได้ผ่าน Y อยู่ จึงไม่ได้ถูกลบออกไป” มักเห็นบ่อยมากในโพสต์ที่บริษัทใช้สนับสนุนระบบนิเวศแบบปิด บางครั้งถึงขั้นขึ้นไปอยู่บนสุด มันให้ทางออกเฉพาะหน้า แต่ไม่ได้แก้ปัญหาที่แก่น ผมไม่อยากให้เป็นแบบนั้น
    • นั่นคงไม่มีความหมาย เพราะถ้ามีการเปิดใช้มาตรการลดผลกระทบของช่องโหว่ use-after-free แอปก็สามารถลองใช้หลังจาก free จริงๆ เพื่อยืนยันการมีอยู่ของมันได้ วิธีเดียวที่จะไม่ให้สังเกตเห็นมาตรการนี้คือ ปิดใช้งาน มันไปเลย
    • GrapheneOS มุ่งเน้นการเพิ่มความเป็นส่วนตัวและความปลอดภัยให้ผู้ใช้ ไม่ได้มุ่งเน้นการหลอกแอป 0.01% ที่ชอบสร้างปัญหา
      นั่นเป็นเกมแมวจับหนูที่ต้องลงทุนมาก และอาจยิ่งทำให้ดูน่าสงสัยกว่าเดิม ทางที่ดีกว่าคือเพิ่มการยอมรับให้มากขึ้น เพื่อให้บริษัทต่างๆ ตัดสินใจโง่ๆ แบบนี้ได้ยากขึ้น ผมเคยเห็นแอปธนาคารที่หลังจากลูกค้าไปพูดถึง ก็เพิ่มการรองรับ GrapheneOS ใน hardware attestation อย่างชัดเจน
      แม้แต่เบราว์เซอร์เฉพาะทางสำหรับหลบการตรวจจับก็ยังถูกบล็อกอยู่เรื่อยๆ และต้องคอยออกแพตช์ มันไม่ใช่พื้นที่ที่อยากเห็น GrapheneOS ไปโฟกัส
    • การปลอมตัวแบบผิวเผินไม่มีความหมายอะไร ถ้าเป็นแอปที่ใส่ใจเรื่องนี้จริง ก็แค่ใช้ Play Integrity API และ GrapheneOS ก็ปลอมแปลงมันไม่ได้
      0: https://developer.android.com/google/play/integrity/overview
    • ทีม GrapheneOS จริงจังกับความปลอดภัย และการปลอมตัวอาจถูกใช้เป็นข้ออ้างให้บล็อกได้จริง
      จาก https://grapheneos.org/articles/attestation-compatibility-gu...:

      GrapheneOS not only upholds the app security model but substantially reinforces it, so it cannot be justified with reasoning based on security, anti-fraud, etc.

  • ในเมื่ออินเทอร์เน็ตก็เอาไปใช้โกงได้เหมือนกัน งั้นก็น่าจะดีกว่าถ้ารายงานผู้ใช้อินเทอร์เน็ตทุกคนให้ทางการไปเลย

    • ใช่ อย่าลืมด้วยว่าถ้าคุณมีหรือขับรถ ก็แปลว่าคุณต้องเป็นอาชญากรแน่ๆ เพราะรถถูกใช้เป็นพาหนะหลบหนีในคดีอาญาร้ายแรง
    • จู่ๆ ก็คิดขึ้นมาได้ว่า ถ้าเกิดมี การแจ้งรายงานถล่มทลาย จนรับมือไม่ไหวจะเป็นยังไง? เช่นให้ผู้ใช้ GrapheneOS ทุกคนติดตั้งแอปนั้นเพื่อให้ถูกแจ้งรายงาน แล้วเติมบอตหรือบัญชีปลอมเข้าไปอีก?
    • คนส่วนใหญ่ที่ใช้ระบบปฏิบัติการที่ไม่มี backdoor ไม่ได้เป็นมิจฉาชีพก็จริง แต่ก็น่าจะมีโอกาสตรงมากกว่าการมองว่าทุกคนที่ใช้อินเทอร์เน็ตเป็นมิจฉาชีพอยู่นิดหน่อย
    • หมายถึงอะไรแบบนี้หรือเปล่า? https://en.wikipedia.org/wiki/Collection_of_Internet_Connect...

  • ยุคใหม่ของการละเมิดลิขสิทธิ์ กำลังใกล้เข้ามาแล้ว ตอนที่พวกเขาคร่ำครวญเรื่อง “รายได้” วันเวลาแบบตอนนี้จะถูกจดจำ

    • ได้โปรดอย่าเรียกมันว่าการละเมิดลิขสิทธิ์เลย แบบนั้นมันทำให้พวกเราดูเหมือนโจร
      นี่คือ การต่อต้าน การสอดส่องมวลชนและรัฐที่ขยายตัวเหมือนมะเร็ง อันที่จริงมันแทบเป็นหน้าที่ของพลเมืองด้วยซ้ำ
    • หมายความว่าไง?