Apple sætter sit ry på fortrolighed. Virksomheden har fremmet krypterede beskeder på tværs af sit økosystem, tilskyndet til grænser for, hvordan mobilapps kan indsamle data og kæmpet mod retshåndhævende myndigheder på udkig efter brugerrekorder. I den forløbne uge har Apple dog kæmpet mod beskyldninger om, at dens kommende iOS- og iPadOS -udgivelse vil svække brugernes privatliv.
Debatten stammer fra en meddelelse, Apple offentliggjorde torsdag. I teorien er ideen ret simpel: Apple ønsker at bekæmpe seksuelt misbrug af børn, og det tager flere skridt til at finde og stoppe det. Men kritikere siger, at Apples strategi kan svække brugernes kontrol over deres egne telefoner og efterlade dem afhængige af Apples løfte om, at den ikke vil misbruge sin magt. Og Apples svar har understreget, hvor kompliceret – og nogle gange ligefrem forvirrende – samtalen virkelig er.
Hvad annoncerede Apple i sidste uge?
Apple har annonceret tre ændringer, der vil udrulle senere på året – alle relateret til at bremse seksuelt misbrug af børn, men målrettet mod forskellige apps med forskellige funktioner sæt.
Den første ændring påvirker Apples Search -app og Siri. Hvis en bruger søger efter emner relateret til seksuelt misbrug af børn, leder Apple dem til ressourcer til at rapportere det eller få hjælp til at tiltrække det. Det ruller ud senere på året på iOS 15, watchOS 8, iPadOS 15 og macOS Monterey, og det er stort set ukontroversielt.
De andre opdateringer har imidlertid skabt langt mere tilbageslag. En af dem tilføjer en mulighed for forældrekontrol til Beskeder, hvilket tilslører seksuelt eksplicitte billeder for brugere under 18 år og sender forældre en advarsel, hvis et barn 12 eller derunder ser eller sender disse billeder.
Den sidste nye funktion scanner iCloud Photos -billeder for at finde materiale til seksuelt misbrug af børn eller CSAM og rapporterer det til Apple -moderatorer – som kan videregive det til National Center for Missing and Exploited Children eller NCMEC. Apple siger, at den har designet denne funktion specifikt til at beskytte brugerens privatliv, mens den finder ulovligt indhold. Kritikere siger, at samme design udgør en sikkerhedsdør.
Hvad laver Apple med Beskeder?
Apple introducerer en meddelelsesfunktion, der skal beskytte børn mod upassende billeder. Hvis forældrene tilmelder sig, vil enheder med brugere under 18 år scanne indgående og udgående billeder med en billedklassifikator, der er uddannet i pornografi, på udkig efter “seksuelt eksplicit” indhold. (Apple siger, at det ikke er teknisk begrænset til nøgenhed, men at et nøgenhedsfilter er en rimelig beskrivelse.) Hvis klassifikatoren opdager dette indhold, skjuler det det pågældende billede og spørger brugeren, om de virkelig vil se eller sende det.
:no_upscale()/cdn.v.com/ploads /chorus_asset/file/22774655/CCEA6371_9191_46CC_BDE4_B2DAB4CC4409.jpeg "Apples kontroversielle nye funktioner til beskyttelse af børn, forklaret")
Et skærmbillede af Apples Messages -filter til seksuelt eksplicit indhold. Billede: Apple Opdateringen – der kommer til konti, der er oprettet som familier i iCloud på iOS 15, iPadOS 15 og macOS Monterey – indeholder også en ekstra mulighed. Hvis en bruger trykker på denne advarsel, og de er under 13 år, vil Beskeder kunne underrette en forælder om, at de har gjort det. Børn vil se en billedtekst, der advarer om, at deres forældre vil modtage beskeden, og forældrene kan ikke se den egentlige besked. Systemet rapporterer ikke noget til Apple -moderatorer eller andre parter.
Billederne registreres på enheden, hvilket Apple siger beskytter privatlivets fred. Og forældre får besked, hvis børn faktisk bekræfter, at de vil se eller sende voksenindhold, ikke hvis de blot modtager det. På samme tid har kritikere som Harvard Cyberlaw Clinic -instruktør Kendra Albert rejst bekymringer om meddelelserne – og sagde, at de kunne ende med at udspille queer- eller transkønnede børn, for eksempel ved at tilskynde deres forældre til at snuse på dem.
Hvad gør Apples nye iCloud Photos -scanningssystem?
ICloud -fotoscanningssystemet er fokuseret på at finde billeder af seksuelle overgreb mod børn, som er ulovlige at besidde. Hvis du er en amerikansk iOS- eller iPadOS-bruger, og du synkroniserer billeder med iCloud-fotos, vil din enhed lokalt kontrollere disse billeder mod en liste over kendte CSAM. Hvis den registrerer nok kampe, vil den advare Apples moderatorer og afsløre detaljerne i kampene. Hvis en moderator bekræfter tilstedeværelsen af CSAM, deaktiverer de kontoen og rapporterer billederne til juridiske myndigheder.
Scanner CSAM en ny idé? < /h2>
Slet ikke. Facebook, Twitter, Reddit og mange andre virksomheder scanner brugernes filer mod hashbiblioteker, ofte ved hjælp af et Microsoft-bygget værktøj kaldet PhotoDNA. De er også juridisk forpligtet til at rapportere CSAM til National Center for Missing and Exploited Children (NCMEC), en nonprofit, der arbejder sammen med lovhåndhævelse.
Apple har dog begrænset sin indsats indtil nu. Virksomheden har tidligere sagt, at den bruger teknologi til billedtilpasning til at finde udnyttelse af børn. Men i et opkald med journalister sagde det, at det aldrig blev scannet iCloud Photos -data. (Det bekræftede, at det allerede scannede iCloud Mail, men tilbød ikke flere detaljer om scanning af andre Apple -tjenester.)
Er Apples nye system anderledes end andre virksomheders scanninger?
En typisk CSAM -scanning kører eksternt og ser på filer, der er gemt på en server. Apples system derimod kontrollerer, om der findes match lokalt på din iPhone eller iPad.
Systemet fungerer som følger. Når iCloud -fotos er aktiveret på en enhed, bruger enheden et værktøj kaldet NeuralHash til at bryde disse billeder i hash – grundlæggende talstrenge, der identificerer et billedes unikke egenskaber, men som ikke kan rekonstrueres til at afsløre selve billedet. Derefter sammenligner den disse hash med en lagret liste over hash fra NCMEC, som kompilerer millioner af hash, der svarer til kendt CSAM -indhold. (Igen, som nævnt ovenfor, er der ingen egentlige billeder eller videoer.)
Hvis Apples system finder et match, genererer din telefon en “sikkerhedskupon”, der uploades til iCloud -fotos. Hver sikkerhedskupon angiver, at der findes et match, men det advarer ingen moderatorer, og det krypterer detaljerne, så en Apple -medarbejder kan ikke se på det og se, hvilket billede der matchede. Men hvis din konto genererer et bestemt antal værdikuponer, bliver værdikuponerne alle dekrypteret og markeret til Apples menneskelige moderatorer – som derefter kan gennemgå fotos og se, om de indeholder CSAM.
Apple understreger, at det udelukkende ser på fotos, du synkroniserer med iCloud, ikke dem, der kun er gemt på din enhed. Det fortæller journalister, at deaktivering af iCloud Photos helt vil deaktivere alle dele af scanningssystemet, herunder den lokale hashgenerering. “Hvis brugerne ikke bruger iCloud-fotos, kører NeuralHash ikke og genererer ingen værdikuponer,” sagde Apples fortrolighedschef Erik Neuenschwander til TechCrunch i et interview.
Apple har brugt on-device behandling for at styrke dets privatlivsoplysninger tidligere. iOS kan udføre en masse AI -analyse uden at sende nogen af dine data til f.eks. cloud -servere, hvilket betyder færre chancer for en tredjepart at få fingre i det.
Men den lokale/fjerntliggende sondring her er enormt omstridt, og efter en modreaktion har Apple brugt de sidste mange dage på at tegne ekstremt subtile linjer mellem de to.
Hvorfor er nogle mennesker oprørt over disse ændringer?
Inden vi går ind i kritikken, er det værd at sige: Apple har fået ros for disse opdateringer fra nogle privatlivs- og sikkerhedseksperter, herunder de fremtrædende kryptografer og computerforskere Mihir Bellare, David Forsyth og Dan Boneh. “Dette system vil sandsynligvis øge sandsynligheden for, at folk, der ejer eller trafikerer i [CSAM], vil blive markant øget,” sagde Forsyth i en påtegning fra Apple. “Ufarlige brugere bør opleve minimalt eller intet tab af privatlivets fred.”
Men andre eksperter og fortalergrupper er kommet ud imod ændringerne. De siger, at iCloud- og Messages -opdateringerne har det samme problem: De opretter overvågningssystemer, der fungerer direkte fra din telefon eller tablet. Det kan give en blueprint til at bryde sikker ende-til-ende-kryptering, og selvom brugen er begrænset lige nu, kan det åbne døren for mere bekymrende invasioner af privatlivets fred.
En 6. august åbent brev skitserer klagerne mere detaljeret. Her er dens beskrivelse af, hvad der foregår:
Selvom udnyttelse af børn er et alvorligt problem, og mens bestræbelser på at bekæmpe det er næsten utvivlsomt velmenende, introducerer Apples forslag en bagdør, der truer med at undergrave grundlæggende beskyttelse af personlige oplysninger for alle brugere af Apple -produkter.
Apples foreslåede teknologi fungerer ved løbende at overvåge fotos gemt eller delt på brugerens iPhone, iPad eller Mac. Et system registrerer, om et bestemt antal stødende fotos opdages i iCloud -lagring og advarer myndighederne. En anden giver et barns forældre besked, hvis iMessage bruges til at sende eller modtage fotos, som en algoritme til maskinlæring anser for at indeholde nøgenhed.
Fordi begge kontroller udføres på brugerens enhed, har de potentiale til at omgå enhver ende-til-ende-kryptering, der ellers ville beskytte brugerens privatliv.
Apple har bestridt karakteriseringerne ovenfor, især udtrykket “bagdør” og beskrivelsen af overvågningsbilleder gemt på en brugers enhed. Men som vi vil forklare nedenfor, beder det brugerne om at have stor tillid til Apple, mens virksomheden står over for regeringens pres rundt om i verden.
Hvad slutter med -end kryptering, igen?
For at forenkle massivt gør ende-til-ende-kryptering (eller E2EE) data ulæselige for alle udover afsender og modtager; med andre ord, ikke engang virksomheden, der driver appen, kan se den. Mindre sikre systemer kan stadig krypteres, men virksomheder kan have nøgler til dataene, så de kan scanne filer eller give adgang til retshåndhævelse. Apples iMessages bruger E2EE; iCloud Fotos gør, ligesom mange cloud -lagertjenester, ikke.
Selvom E2EE kan være utrolig effektiv, forhindrer det ikke nødvendigvis folk i at se data på selve telefonen. Det efterlader døren åben for bestemte former for overvågning, herunder et system, som Apple nu beskyldes for at tilføje: scanning på klientsiden.
Hvad er scanning på klientsiden? < /strong>
Electronic Frontier Foundation har en detaljeret oversigt over scanning på klientsiden. Grundlæggende indebærer det at analysere filer eller meddelelser i en app, før de sendes i krypteret form, ofte kontrollere om der er stødende indhold – og i processen omgå beskyttelsen af E2EE ved at målrette mod selve enheden. I et telefonopkald med The Verge sammenlignede EFFs seniorpersonale tekniker Erica Portnoy disse systemer med nogen, der kiggede over din skulder, mens du sender en sikker besked på din telefon.
Gør Apple scanning på klientsiden?
Apple benægter det kraftigt. I et dokument med ofte stillede spørgsmål står der, at Beskeder stadig er ende-til-ende-krypteret, og absolut ingen oplysninger om specifikt beskedindhold frigives til nogen, inklusive forældre. “Apple får aldrig adgang til kommunikation som følge af denne funktion i Beskeder,” lover det.
Det afviser også rammen om, at det scanner fotos på din enhed til CSAM. “Designet gælder denne funktion kun for fotos, som brugeren vælger at uploade til iCloud,” står der i FAQ. “Systemet fungerer ikke for brugere, der har deaktiveret iCloud -fotos. Denne funktion fungerer ikke på dit private iPhone -fotobibliotek på enheden. ” Virksomheden præciserede senere over for journalister, at Apple kunne scanne iCloud Photos-billeder synkroniseret via tredjepartstjenester samt egne apps.
Som Apple erkender, har iCloud Photos ikke engang nogen E2EE at bryde, så det kan let køre disse scanninger på sine servere – ligesom mange andre virksomheder. Apple hævder, at dets system faktisk er mere sikkert. De fleste brugere vil sandsynligvis ikke have CSAM på deres telefon, og Apple hævder, at kun omkring 1 ud af 1 billion konti kan blive markeret forkert. Med dette lokale scanningssystem siger Apple, at det ikke afslører oplysninger om andres fotos, hvilket ikke ville være sandt, hvis det scannede dets servere.
Er Apples argumenter overbevisende?
Ikke for mange af dens kritikere. Som Ben Thompson skriver på Stratechery, er spørgsmålet ikke, om Apple kun sender meddelelser til forældre eller begrænser sine søgninger til bestemte kategorier af indhold. Det er, at virksomheden søger gennem data, før den forlader din telefon.
I stedet for at tilføje CSAM -scanning til iCloud -fotos i skyen, som de ejer og driver, går Apple på kompromis med telefon, som du og jeg ejer og driver, uden at nogen af os har noget at sige i sagen. Ja, du kan deaktivere iCloud -fotos for at deaktivere Apples scanning, men det er en politisk beslutning; muligheden for at nå ud til en brugers telefon findes nu, og der er ikke noget, en iPhone -bruger kan gøre for at slippe af med den.
CSAM er ulovligt og afskyeligt. Men som det åbne brev til Apple bemærker, har mange lande presset på for at gå på kompromis med kryptering for at bekæmpe terrorisme, misinformation og andet stødende indhold. Nu hvor Apple har skabt denne præcedens, vil den næsten helt sikkert stå over for opfordringer til at udvide den. Og hvis Apple senere udruller ende-til-ende-kryptering til iCloud-noget, det efter sigende overvejes at gøre, omend aldrig implementeret-har det lagt en mulig køreplan for at komme uden om E2EE's beskyttelse.
Apple siger, at det vil nægte alle opkald til at misbruge sine systemer. Og det kan prale af en masse sikkerhedsforanstaltninger: det faktum, at forældre ikke kan aktivere advarsler for ældre teenagere i Beskeder, at iClouds sikkerhedskuponer er krypterede, at det sætter en tærskel for at advare moderatorer, og at dets søgninger er kun i USA og strengt begrænsede til NCMECs database.
Apples CSAM -detekteringsfunktion er udelukkende bygget til at registrere kendte CSAM -billeder gemt i iCloud -fotos, der er blevet identificeret af eksperter fra NCMEC og andre børnesikkerhedsgrupper. Vi har stået over for krav om at opbygge og implementere regeringsmandaterede ændringer, der før forringer brugernes privatliv før, og har fast afvist disse krav. Vi vil fortsat nægte dem i fremtiden. Lad os være klare, denne teknologi er begrænset til at registrere CSAM, der er gemt i iCloud, og vi vil ikke imødekomme nogen regerings anmodning om at udvide den.
Problemet er, Apple har beføjelse til at ændre disse sikkerhedsforanstaltninger. “Halvdelen af problemet er, at systemet er så let at ændre,” siger Portnoy. Apple har holdt fast i sine våben i nogle sammenstød med regeringer; det trodsede berømt et Federal Bureau of Investigation -krav om data fra en masseskyderes iPhone. Men det tiltræder andre anmodninger som f.eks. Lagring af kinesiske iCloud -data lokalt, selvom det insisterer på, at det ikke har kompromitteret brugersikkerheden ved at gøre det.
Stanford Internet Observatory -professor Alex Stamos satte også spørgsmålstegn ved, hvor godt Apple havde arbejdet med det større krypteringseksperterfællesskab og sagde, at virksomheden havde afvist at deltage i en række diskussioner om sikkerhed, privatliv og kryptering. “Med denne meddelelse trådte de bare ind i balancedebatten og skubbede alle ind i de fjerneste hjørner uden offentlig høring eller debat,” tweetede han.
Hvordan gør fordelene ved Apples nye funktioner stabler op mod risiciene?
Som sædvanligt er det kompliceret – og det afhænger delvist af, om du ser denne ændring som en begrænset undtagelse eller en dør, der kan åbnes.
Apple har legitime grunde til at intensivere sin indsats for beskyttelse af børn. I slutningen af 2019 offentliggjorde The New York Times rapporter om en “epidemi” i seksuelt misbrug af børn online. Det sprængte amerikanske teknologivirksomheder for ikke at have taget fat på spredningen af CSAM, og i en senere artikel udpegede NCMEC Apple for sine lave rapporteringshastigheder sammenlignet med jævnaldrende som Facebook, noget Times tilskrev dels, at virksomheden ikke scannede iCloud -filer.
I mellemtiden har interne Apple -dokumenter sagt, at iMessage har et problem med seksuel rovdyr. I dokumenter, der blev afsløret af den nylige Epic v. Apple-retssag, anførte en afdelingsleder i Apple “børns rovdyrpleje” som en “aktiv trussel” under ressourcer for platformen. Pleje omfatter ofte at sende børn (eller bede børn om at sende) seksuelt eksplicitte billeder, hvilket er præcis, hvad Apples nye Beskeder -funktion forsøger at forstyrre.
På samme tid har Apple selv kaldt privatlivets fred en “menneskeret”. Telefoner er intime enheder fulde af følsomme oplysninger. Med sine meddelelser og iCloud -ændringer har Apple demonstreret to måder at søge eller analysere indhold direkte på hardwaren frem for efter at du har sendt data til en tredjepart, selvom det er at analysere data, som du har givet samtykke til at sende, f.eks. ICloud -fotos.
Apple har anerkendt indsigelserne mod sine opdateringer. Men indtil videre har det ikke angivet planer om at ændre eller opgive dem. Fredag anerkendte et internt notat “misforståelser”, men roste ændringerne. “Det, vi annoncerede i dag, er produktet af dette utrolige samarbejde, et, der leverer værktøjer til beskyttelse af børn, men også opretholder Apples dybe engagement i brugernes privatliv,” lyder det. “Vi ved, at nogle mennesker har misforståelser, og mere end nogle få er bekymrede over konsekvenserne, men vi vil fortsætte med at forklare og detaljerede funktionerne, så folk forstår, hvad vi har bygget.”