Apple setter sitt rykte på personvern. Selskapet har fremmet krypterte meldinger på tvers av økosystemet, oppfordret til grenser for hvordan mobilapper kan samle inn data, og kjempet mot rettshåndhevelsesbyråer på jakt etter brukerrekorder. Den siste uken har Apple imidlertid kjempet mot anklager om at den kommende iOS- og iPadOS -versjonen vil svekke brukernes personvern.
Debatten stammer fra en kunngjøring Apple kom med torsdag. I teorien er ideen ganske enkel: Apple ønsker å bekjempe seksuelle overgrep mot barn, og det tar flere skritt for å finne og stoppe det. Men kritikere sier at Apples strategi kan svekke brukernes kontroll over sine egne telefoner, slik at de er avhengige av Apples løfte om at den ikke vil misbruke makten. Og Apples svar har understreket hvor komplisert – og noen ganger rett og slett forvirrende – samtalen egentlig er.
Hva kunngjorde Apple i forrige uke?
Apple har kunngjort tre endringer som ruller ut senere i år – alt knyttet til å dempe seksuelle overgrep mot barn, men målrettet mot forskjellige apper med forskjellige funksjoner sett.
Den første endringen påvirker Apples Search -app og Siri. Hvis en bruker søker etter temaer knyttet til seksuelle overgrep mot barn, vil Apple henvise dem til ressurser for å rapportere det eller få hjelp med å tiltrekke seg det. Det ruller ut senere i år på iOS 15, watchOS 8, iPadOS 15 og macOS Monterey, og det er stort sett ukontroversielt.
De andre oppdateringene har imidlertid gitt langt mer tilbakeslag. En av dem legger til et alternativ for foreldrekontroll i Meldinger, skjuler seksuelt eksplisitte bilder for brukere under 18 år og sender foreldre et varsel hvis et barn 12 år eller yngre ser eller sender disse bildene.
Den siste nye funksjonen skanner bilder av iCloud Photos for å finne materiale for seksuelt misbruk av barn, eller CSAM, og rapporterer det til Apple -moderatorer – som kan sende det videre til National Center for Missing and Exploited Children, eller NCMEC. Apple sier at den har designet denne funksjonen spesielt for å beskytte brukerens personvern mens du finner ulovlig innhold. Kritikere sier at samme design utgjør en sikkerhet bakdør.
Hva gjør Apple med Meldinger?
Apple introduserer en meldingsfunksjon som er ment å beskytte barn mot upassende bilder. Hvis foreldre melder seg på, vil enheter med brukere under 18 år skanne innkommende og utgående bilder med en bildeklassifiseringsutdannet i pornografi, på jakt etter “seksuelt eksplisitt” innhold. (Apple sier at det ikke er teknisk begrenset til nakenhet, men at et nakenhetsfilter er en rettferdig beskrivelse.) Hvis klassifisereren oppdager dette innholdet, skjuler det det aktuelle bildet og spør brukeren om de virkelig vil se eller sende det.
:no_upscale()/cdn.u.com/ploads /chorus_asset/file/22774655/CCEA6371_9191_46CC_BDE4_B2DAB4CC4409.jpeg "Apples kontroversielle nye barnevernfunksjoner, forklart")
Et skjermbilde av Apples Meldingsfilter for seksuelt eksplisitt innhold. Bilde: Apple Oppdateringen – som kommer til kontoer som er konfigurert som familier i iCloud på iOS 15, iPadOS 15 og macOS Monterey – inkluderer også et ekstra alternativ. Hvis en bruker trykker på denne advarselen og de er under 13 år, kan Meldinger varsle en forelder om at de har gjort det. Barn vil se en bildetekst som advarer om at foreldrene vil motta varselet, og foreldrene vil ikke se den faktiske meldingen. Systemet rapporterer ikke noe til Apple -moderatorer eller andre parter.
Bildene blir oppdaget på enheten, som Apple sier beskytter personvernet. Og foreldre blir varslet hvis barn faktisk bekrefter at de vil se eller sende innhold for voksne, ikke hvis de bare mottar det. Samtidig har kritikere som Harvard Cyberlaw Clinic -instruktør Kendra Albert uttrykt bekymring for varslene – og sa at de for eksempel kan ende med å reise ut skeive eller transpersoner, for eksempel ved å oppmuntre foreldrene til å snuse på dem.
Hva gjør Apples nye skanningssystem for iCloud -bilder?
Skanningssystemet iCloud Photos er fokusert på å finne bilder av seksuelle overgrep mot barn, som er ulovlige å ha. Hvis du er en amerikansk iOS- eller iPadOS-bruker og synkroniserer bilder med iCloud Photos, vil enheten sjekke disse bildene lokalt mot en liste over kjente CSAM. Hvis den oppdager nok treff, vil den varsle Apples moderatorer og avsløre detaljene i kampene. Hvis en moderator bekrefter tilstedeværelsen av CSAM, deaktiverer de kontoen og rapporterer bildene til juridiske myndigheter.
Skanner CSAM en ny idé? < /h2>
Ikke i det hele tatt. Facebook, Twitter, Reddit og mange andre selskaper skanner brukernes filer mot hashbiblioteker, ofte ved hjelp av et Microsoft-bygget verktøy kalt PhotoDNA. De er også lovpålagt å rapportere CSAM til National Center for Missing and Exploited Children (NCMEC), en ideell organisasjon som jobber sammen med politiet.
Apple har imidlertid begrenset innsatsen til nå. Selskapet har tidligere sagt at det bruker teknologi for bildematching for å finne utnyttelse av barn. Men i en samtale med journalister sa det at det aldri er skannet iCloud Photos -data. (Den bekreftet at den allerede har skannet iCloud Mail, men tilbyr ikke flere detaljer om skanning av andre Apple -tjenester.)
Er Apples nye system annerledes enn andre selskapers skanninger?
En typisk CSAM -skanning kjøres eksternt og ser på filer som er lagret på en server. Apples system derimot, søker etter treff lokalt på iPhone eller iPad.
Systemet fungerer som følger. Når iCloud Photos er aktivert på en enhet, bruker enheten et verktøy som heter NeuralHash for å dele disse bildene i hashes – i utgangspunktet tallstrenger som identifiserer de unike egenskapene til et bilde, men som ikke kan rekonstrueres for å avsløre selve bildet. Deretter sammenligner den disse hasjene med en lagret liste over hashes fra NCMEC, som kompilerer millioner av hash som tilsvarer kjent CSAM -innhold. (Igjen, som nevnt ovenfor, er det ingen faktiske bilder eller videoer.)
Hvis Apples system finner en match, genererer telefonen en “sikkerhetskupong” som lastes opp til iCloud -bilder. Hver sikkerhetskupong indikerer at det finnes en kamp, men den varsler ingen moderatorer og den krypterer detaljene, så en Apple -ansatt kan ikke se på det og se hvilket bilde som matchet. Men hvis kontoen din genererer et visst antall bilag, blir alle bilagene dekryptert og flagget til Apples menneskelige moderatorer – som deretter kan gå gjennom bildene og se om de inneholder CSAM.
Apple understreker at det utelukkende ser på bilder du synkroniserer med iCloud, ikke de som bare er lagret på enheten din. Det forteller journalister at deaktivering av iCloud Photos vil deaktivere alle deler av skannesystemet, inkludert den lokale hashgenerasjonen, fullstendig. “Hvis brukerne ikke bruker iCloud-bilder, vil NeuralHash ikke kjøre og ikke generere noen bilag,” sa Apple Neuenschwander, personvernsjef i TechCrunch, i et intervju.
Apple har brukt på enheten behandling for å styrke personvernerklæringen sin tidligere. iOS kan utføre mye AI -analyse uten å sende noen av dataene dine til skyservere, for eksempel, noe som betyr færre sjanser for en tredjepart å få tak i det.
Men det lokale/eksterne skillet her er enormt omstridt, og etter en tilbakeslag har Apple brukt de siste dagene på å tegne ekstremt subtile linjer mellom de to.
Hvorfor er det noen mennesker opprørt over disse endringene?
Før vi går inn på kritikken, er det verdt å si: Apple har fått ros for disse oppdateringene fra noen personvern- og sikkerhetseksperter, inkludert de fremtredende kryptografene og datavitenskapsmennene Mihir Bellare, David Forsyth og Dan Boneh. “Dette systemet vil trolig øke sannsynligheten for at folk som eier eller trafikkerer i [CSAM], blir betydelig,” sa Forsyth i en påtegning fra Apple. “Ufarlige brukere bør oppleve minimalt eller ingen tap av personvern.”
Men andre eksperter og fortalergrupper har kommet ut mot endringene. De sier at iCloud og Messages -oppdateringene har det samme problemet: de lager overvåkningssystemer som fungerer direkte fra telefonen eller nettbrettet. Det kan gi en blåkopi for å bryte sikker ende-til-ende-kryptering, og selv om bruken er begrenset akkurat nå, kan det åpne døren for mer urovekkende personinngrep.
En 6. august åpent brev beskriver klagene mer detaljert. Her er beskrivelsen av det som skjer:
Selv om utnyttelse av barn er et alvorlig problem, og mens innsatsen for å bekjempe det er nesten utvilsomt velmenende, introduserer Apples forslag en bakdør som truer med å undergrave grunnleggende personvern for alle brukere av Apple -produkter.
Apples foreslåtte teknologi fungerer ved å kontinuerlig overvåke bilder som er lagret eller delt på brukerens iPhone, iPad eller Mac. Ett system oppdager om et visst antall støtende bilder blir oppdaget i iCloud -lagring og varsler myndighetene. En annen varsler et barns foreldre hvis iMessage brukes til å sende eller motta bilder som en maskinlæringsalgoritme anser for å inneholde nakenhet.
Fordi begge kontrollene utføres på brukerens enhet, har de potensial til å omgå enhver ende-til-ende-kryptering som ellers ville ivaretatt brukerens personvern.
Apple har bestridt karakteriseringene ovenfor, spesielt begrepet “bakdør” og beskrivelsen av overvåkingsbilder lagret på en brukers enhet. Men som vi vil forklare nedenfor, ber det brukerne om å stole mye på Apple, mens selskapet står overfor press fra hele verden.
Hva er slutten på -slutt kryptering, igjen?
For å forenkle massivt gjør ende-til-ende-kryptering (eller E2EE) data uleselige for alle andre enn avsenderen og mottakeren; med andre ord, ikke engang selskapet som driver appen kan se den. Mindre sikre systemer kan fortsatt krypteres, men selskaper kan ha nøkler til dataene slik at de kan skanne filer eller gi tilgang til rettshåndhevelse. Apples iMessages bruker E2EE; iCloud Photos, som mange skylagringstjenester, gjør ikke det.
Selv om E2EE kan være utrolig effektiv, hindrer det ikke nødvendigvis folk i å se data på selve telefonen. Det etterlater døren åpen for bestemte typer overvåking, inkludert et system som Apple nå er anklaget for å legge til: skanning på klientsiden.
Hva er skanning på klientsiden? < /strong>
Electronic Frontier Foundation har en detaljert oversikt over skanning på klientsiden. I utgangspunktet innebærer det å analysere filer eller meldinger i en app før de sendes i kryptert form, og ofte se etter støtende innhold – og i prosessen, omgå beskyttelsen til E2EE ved å målrette mot selve enheten. I en telefon med The Verge sammenlignet EFFs seniorpersonale tekniker Erica Portnoy disse systemene med noen som ser deg over skulderen mens du sender en sikker melding på telefonen.
Gjør Apple skanning på klientsiden?
Apple benekter det på det sterkeste. I et dokument med vanlige spørsmål står det at Meldinger fortsatt er ende-til-ende-kryptert og absolutt ingen detaljer om spesifikt meldingsinnhold blir gitt ut til noen, inkludert foreldre. “Apple får aldri tilgang til kommunikasjon som et resultat av denne funksjonen i Meldinger,” lover det.
Det avviser også rammen om at det skanner bilder på enheten din for CSAM. “Designet gjelder denne funksjonen bare for bilder som brukeren velger å laste opp til iCloud,” står det i vanlige spørsmål. “Systemet fungerer ikke for brukere som har deaktivert iCloud -bilder. Denne funksjonen fungerer ikke på ditt private iPhone -fotobibliotek på enheten. ” Selskapet forklarte senere til journalister at Apple kunne skanne iCloud Photos-bilder synkronisert via tredjepartstjenester så vel som egne apper.
Som Apple erkjenner, har iCloud Photos ikke engang noen E2EE å bryte, så den kan enkelt kjøre disse skanningene på serverne – akkurat som mange andre selskaper. Apple hevder at systemet faktisk er sikrere. De fleste brukere vil neppe ha CSAM på telefonen, og Apple hevder at bare rundt 1 av 1 billion kontoer kan bli flagget feil. Med dette lokale skannesystemet sier Apple at det ikke vil avsløre informasjon om andres bilder, noe som ikke ville være sant hvis det skannet serverne.
Er Apples argumenter overbevisende?
Ikke for mange av kritikerne. Som Ben Thompson skriver i Stratechery, er ikke problemet om Apple bare sender varsler til foreldre eller begrenser søkene til bestemte kategorier av innhold. Det er at selskapet søker gjennom data før det forlater telefonen.
I stedet for å legge til CSAM -skanning til iCloud -bilder i skyen de eier og driver, kompromitterer Apple telefon som du og jeg eier og driver, uten at noen av oss har noe å si i saken. Ja, du kan slå av iCloud -bilder for å deaktivere Apples skanning, men det er en politisk beslutning; muligheten til å nå en brukers telefon eksisterer nå, og det er ingenting en iPhone -bruker kan gjøre for å bli kvitt den.
CSAM er ulovlig og avskyelig. Men som det åpne brevet til Apple bemerker, har mange land presset på for å kompromittere kryptering for å bekjempe terrorisme, feilinformasjon og annet støtende innhold. Nå som Apple har satt denne presedensen, vil den nesten helt sikkert møte oppfordringer om å utvide den. Og hvis Apple senere ruller ut ende-til-ende-kryptering for iCloud-noe det angivelig er vurdert å gjøre, om enn aldri implementert-har det lagt et mulig veikart for å komme seg rundt E2EEs beskyttelse.
Apple sier at den vil nekte alle anrop om å misbruke systemene sine. Og det kan skryte av mange sikkerhetstiltak: det faktum at foreldre ikke kan aktivere varsler for eldre tenåringer i Meldinger, at iClouds sikkerhetskuponger er kryptert, at det setter en terskel for å varsle moderatorer, og at søkene er bare i USA og strengt begrenset til NCMECs database.
Apples evne til å oppdage CSAM er utelukkende bygget for å oppdage kjente CSAM -bilder lagret i iCloud -bilder som er identifisert av eksperter ved NCMEC og andre barnesikkerhetsgrupper. Vi har stått overfor krav om å bygge og distribuere regjeringsmandaterte endringer som forringer personvernet til brukerne tidligere, og har fast bestemt nektet disse kravene. Vi vil fortsette å nekte dem i fremtiden. La oss være klare, denne teknologien er begrenset til å oppdage CSAM lagret i iCloud, og vi vil ikke imøtekomme noen myndighets forespørsel om å utvide den.
Problemet er at Apple har makt til å endre disse sikkerhetstiltakene. “Halve problemet er at systemet er så enkelt å endre,” sier Portnoy. Apple har holdt seg til våpen i noen sammenstøt med regjeringer; den trosset kjent et krav fra Federal Bureau of Investigation om data fra en masseskytters iPhone. Men den blir akseptert for andre forespørsler, for eksempel lagring av kinesiske iCloud -data lokalt, selv om den insisterer på at den ikke har svekket brukersikkerheten ved å gjøre det.
Stanford Internet Observatory -professor Alex Stamos satte også spørsmålstegn ved hvor godt Apple hadde jobbet med det større krypteringsekspert -samfunnet, og sa at selskapet hadde nektet å delta i en serie diskusjoner om sikkerhet, personvern og kryptering. “Med denne kunngjøringen kom de bare inn i balansedebatten og presset alle inn i de lengste hjørnene uten offentlig konsultasjon eller debatt,” twitret han.
Hvordan gjør fordelene med Apples nye funksjoner står opp mot risikoen?
Som vanlig er det komplisert – og det avhenger delvis av om du ser denne endringen som et begrenset unntak eller en dør som kan åpnes.
Apple har legitime grunner til å øke barnevernsarbeidet. I slutten av 2019 publiserte The New York Times rapporter om en “epidemi” i seksuelle overgrep mot barn på nettet. Det sprengte amerikanske teknologiselskaper for ikke å ta tak i spredningen av CSAM, og i en senere artikkel pekte NCMEC ut Apple for sine lave rapporteringshastigheter sammenlignet med jevnaldrende som Facebook, noe Times tilskrev delvis til at selskapet ikke skannet iCloud -filer.
I mellomtiden har interne Apple -dokumenter sagt at iMessage har et seksuelt rovdyrproblem. I dokumenter som ble avslørt av den nylige Epic v. Apple-rettssaken, oppgav en avdelingsleder for Apple “barndomsroving” som en “aktiv trussel” for ressurser for plattformen. Pleie inkluderer ofte å sende barn (eller be barn om å sende) seksuelt eksplisitte bilder, noe som er akkurat det Apples nye meldingsfunksjon prøver å forstyrre.
Samtidig har Apple selv kalt personvernet en “menneskerettighet.” Telefoner er intime enheter fulle av sensitiv informasjon. Med sine meldinger og iCloud -endringer har Apple demonstrert to måter å søke eller analysere innhold direkte på maskinvaren i stedet for etter at du har sendt data til en tredjepart, selv om det er å analysere data du har samtykket til å sende, for eksempel iCloud -bilder.
Apple har godtatt innsigelsene mot oppdateringene. Men så langt har det ikke indikert planer om å endre eller forlate dem. Fredag anerkjente et internt notat “misforståelser”, men berømmet endringene. “Det vi kunngjorde i dag er produktet av dette utrolige samarbeidet, et som leverer verktøy for å beskytte barn, men også opprettholder Apples dype engasjement for brukernes personvern,” heter det. “Vi vet at noen mennesker har misforståelser, og flere enn noen få er bekymret for konsekvensene, men vi vil fortsette å forklare og detaljere funksjonene slik at folk forstår hva vi har bygd.”