Apple zet zijn reputatie op het gebied van privacy. Het bedrijf promootte versleutelde berichten in zijn hele ecosysteem, moedigde beperkingen aan op hoe mobiele apps gegevens kunnen verzamelen en vocht tegen wetshandhavingsinstanties die op zoek waren naar gebruikersgegevens. De afgelopen week heeft Apple echter gevochten tegen beschuldigingen dat de aanstaande iOS- en iPadOS-release de privacy van gebruikers zal verzwakken.
Het debat komt voort uit een aankondiging die Apple donderdag deed. In theorie is het idee vrij eenvoudig: Apple wil seksueel misbruik van kinderen bestrijden en neemt meer stappen om het op te sporen en te stoppen. Maar critici zeggen dat de strategie van Apple de controle van gebruikers over hun eigen telefoons zou kunnen verzwakken, waardoor ze afhankelijk zouden zijn van de belofte van Apple dat het zijn macht niet zal misbruiken. En de reactie van Apple heeft duidelijk gemaakt hoe ingewikkeld – en soms ronduit verwarrend – het gesprek werkelijk is.
Wat heeft Apple vorige week aangekondigd?
Apple heeft drie wijzigingen aangekondigd die later dit jaar zullen worden doorgevoerd – allemaal gerelateerd aan het terugdringen van seksueel misbruik van kinderen, maar gericht op verschillende apps met verschillende functies sets.
De eerste wijziging is van invloed op Apple's Search-app en Siri. Als een gebruiker zoekt naar onderwerpen die te maken hebben met seksueel misbruik van kinderen, zal Apple hem doorverwijzen naar bronnen om dit te melden of hulp te krijgen bij een aantrekking tot dit onderwerp. Dat wordt later dit jaar uitgerold op iOS 15, watchOS 8, iPadOS 15 en macOS Monterey, en het is grotendeels onomstreden.
De andere updates hebben echter veel meer terugslag gegenereerd. Een van hen voegt een optie voor ouderlijk toezicht toe aan Berichten, verduistert seksueel expliciete afbeeldingen voor gebruikers onder de 18 en stuurt ouders een waarschuwing als een kind van 12 jaar of jonger deze afbeeldingen bekijkt of deze afbeeldingen verzendt.
De laatste nieuwe functie scant iCloud-foto's om materiaal van seksueel misbruik van kinderen te vinden, of CSAM, en rapporteert dit aan Apple-moderators – die het kunnen doorgeven aan het National Center for Missing and Exploited Children, of NCMEC. Apple zegt dat het deze functie speciaal heeft ontworpen om de privacy van gebruikers te beschermen bij het vinden van illegale inhoud. Critici zeggen dat dezelfde ontwerpen neerkomen op een achterdeur voor beveiliging.
Wat doet Apple met Berichten?
Apple introduceert een Berichten-functie die bedoeld is om kinderen te beschermen tegen ongepaste afbeeldingen. Als ouders zich aanmelden, scannen apparaten met gebruikers onder de 18 inkomende en uitgaande foto's met een beeldclassificator die is getraind in pornografie, op zoek naar 'seksueel expliciete' inhoud. (Apple zegt dat het technisch niet beperkt is tot naaktheid, maar dat een naaktfilter een goede beschrijving is.) Als de classifier deze inhoud detecteert, verduistert het de afbeelding in kwestie en vraagt het de gebruiker of ze het echt willen bekijken of verzenden.
:no_upscale()/cdn.com/uploads /chorus_asset/file/22774655/CCEA6371_9191_46CC_BDE4_B2DAB4CC4409.jpeg "Apple's controversiële nieuwe functies voor kinderbescherming, uitgelegd")
Een screenshot van Apple's Berichten-filter voor seksueel expliciete inhoud. Afbeelding: Appel
De update — die komt voor accounts die als families zijn ingesteld in iCloud op iOS 15, iPadOS 15 en macOS Monterey — bevat ook een extra optie. Als een gebruiker die waarschuwing doorklikt en ze jonger zijn dan 13, kan Berichten een ouder laten weten dat ze het hebben gedaan. Kinderen krijgen een onderschrift te zien dat waarschuwt dat hun ouders de melding zullen ontvangen, en de ouders zien het eigenlijke bericht niet. Het systeem rapporteert niets aan Apple-moderators of andere partijen.
De afbeeldingen worden op het apparaat gedetecteerd, wat volgens Apple de privacy beschermt. En ouders worden op de hoogte gesteld als kinderen daadwerkelijk bevestigen dat ze inhoud voor volwassenen willen zien of verzenden, niet als ze deze alleen maar ontvangen. Tegelijkertijd hebben critici, zoals Kendra Albert, instructeur van de Harvard Cyberlaw Clinic, hun bezorgdheid geuit over de meldingen, waarbij ze zeiden dat ze zouden kunnen eindigen met queer- of transgenderkinderen, bijvoorbeeld door hun ouders aan te moedigen om bij hen te snuffelen.
Wat doet het nieuwe scansysteem van iCloud Foto's?
Het scansysteem van iCloud-foto's is gericht op het vinden van afbeeldingen van seksueel misbruik van kinderen, die illegaal zijn om te bezitten. Als je een in de VS gevestigde iOS- of iPadOS-gebruiker bent en je foto's synchroniseert met iCloud-foto's, zal je apparaat deze foto's lokaal vergelijken met een lijst met bekende CSAM. Als het voldoende overeenkomsten detecteert, zal het de moderators van Apple waarschuwen en de details van de overeenkomsten onthullen. Als een moderator de aanwezigheid van CSAM bevestigt, schakelen ze het account uit en rapporteren ze de afbeeldingen aan de juridische autoriteiten.
Is CSAM scannen een nieuw idee?< /h2>
Helemaal niet. Facebook, Twitter, Reddit en vele andere bedrijven scannen de bestanden van gebruikers op hashbibliotheken, vaak met behulp van een door Microsoft gebouwde tool genaamd PhotoDNA. Ze zijn ook wettelijk verplicht om CSAM te melden bij het National Center for Missing and Exploited Children (NCMEC), een non-profitorganisatie die samenwerkt met wetshandhaving.
Apple heeft zijn inspanningen tot nu toe echter beperkt. Het bedrijf heeft eerder gezegd dat het technologie voor het matchen van afbeeldingen gebruikt om uitbuiting van kinderen op te sporen. Maar in een gesprek met verslaggevers zei het dat het nooit iCloud-foto's-gegevens heeft gescand. (Het bevestigde dat het iCloud Mail al had gescand, maar bood geen details over het scannen van andere Apple-services.)
Verschilt het nieuwe systeem van Apple van de scans van andere bedrijven?
Een typische CSAM-scan wordt op afstand uitgevoerd en kijkt naar bestanden die op een server zijn opgeslagen. Het systeem van Apple controleert daarentegen lokaal op overeenkomsten op je iPhone of iPad.
Het systeem werkt als volgt. Wanneer iCloud-foto's op een apparaat is ingeschakeld, gebruikt het apparaat een tool genaamd NeuralHash om deze afbeeldingen in hashes te splitsen – in feite reeksen getallen die de unieke kenmerken van een afbeelding identificeren, maar die niet kunnen worden gereconstrueerd om de afbeelding zelf te onthullen. Vervolgens vergelijkt het deze hashes met een opgeslagen lijst met hashes van NCMEC, die miljoenen hashes compileert die overeenkomen met bekende CSAM-inhoud. (Nogmaals, zoals hierboven vermeld, zijn er geen echte foto's of video's.)
Als het systeem van Apple een overeenkomst vindt, genereert uw telefoon een “veiligheidsvoucher” die wordt geüpload naar iCloud-foto's. Elke veiligheidsvoucher geeft aan dat er een match is, maar waarschuwt geen moderators en versleutelt de details, zodat een Apple-medewerker er niet naar kan kijken en zien welke foto overeenkomt. Als uw account echter een bepaald aantal vouchers genereert, worden de vouchers allemaal gedecodeerd en gemarkeerd voor de menselijke moderators van Apple – die vervolgens de foto's kunnen bekijken en zien of ze CSAM bevatten.
Apple benadrukt dat het uitsluitend kijkt naar foto's die u synchroniseert met iCloud, niet naar foto's die alleen op uw apparaat zijn opgeslagen. Het vertelt verslaggevers dat het uitschakelen van iCloud-foto's alle delen van het scansysteem volledig zal deactiveren, inclusief de lokale hash-generatie. “Als gebruikers iCloud-foto's niet gebruiken, wordt NeuralHash niet uitgevoerd en genereert het geen vouchers”, vertelde Apple-privacyhoofd Erik Neuenschwander in een interview aan TechCrunch.
Apple heeft op het apparaat verwerking om zijn privacygegevens in het verleden te versterken. iOS kan veel AI-analyses uitvoeren zonder uw gegevens bijvoorbeeld naar cloudservers te sturen, wat betekent dat er minder kansen zijn voor derden om deze in handen te krijgen.
Maar het onderscheid tussen lokaal en op afstand is hier enorm controversieel, en na een terugslag heeft Apple de afgelopen dagen uiterst subtiele lijnen tussen de twee getrokken.
Waarom zijn sommige mensen boos over deze veranderingen?
Voordat we ingaan op de kritiek, is het de moeite waard om te zeggen: Apple heeft lof gekregen voor deze updates van enkele privacy- en beveiligingsexperts, waaronder de prominente cryptografen en computerwetenschappers Mihir Bellare, David Forsyth en Dan Boneh. “Dit systeem zal waarschijnlijk de kans aanzienlijk vergroten dat mensen die [CSAM] bezitten of gebruiken, worden gevonden”, zei Forsyth in een goedkeuring van Apple. “Ongevaarlijke gebruikers zouden minimaal tot geen verlies van privacy moeten ervaren.”
Maar andere experts en belangengroepen hebben zich tegen de veranderingen uitgesproken. Ze zeggen dat de updates voor iCloud en Berichten hetzelfde probleem hebben: ze creëren bewakingssystemen die rechtstreeks vanaf je telefoon of tablet werken. Dat zou een blauwdruk kunnen zijn voor het doorbreken van veilige end-to-end-codering, en zelfs als het gebruik ervan op dit moment beperkt is, zou het de deur kunnen openen voor meer verontrustende inbreuken op de privacy.
Een De open brief van 6 augustus zet de klachten nader uiteen. Hier is de beschrijving van wat er aan de hand is:
Hoewel kinderuitbuiting een serieus probleem is, en hoewel de inspanningen om het te bestrijden bijna onbetwistbaar goed bedoeld zijn, introduceert het voorstel van Apple een achterdeur die dreigt de fundamentele privacybescherming voor alle gebruikers van Apple-producten te ondermijnen.
De voorgestelde technologie van Apple werkt door continu foto's te bewaken die zijn opgeslagen of gedeeld op de iPhone, iPad of Mac van de gebruiker. Eén systeem detecteert of een bepaald aantal aanstootgevende foto's wordt gedetecteerd in iCloud-opslag en waarschuwt de autoriteiten. Een ander stelt de ouders van een kind op de hoogte als iMessage wordt gebruikt om foto's te verzenden of ontvangen die volgens een machine learning-algoritme naaktheid bevatten.
Omdat beide controles worden uitgevoerd op het apparaat van de gebruiker, kunnen ze end-to-end-codering omzeilen die anders de privacy van de gebruiker zou beschermen.
Apple heeft betwist de bovenstaande kenmerken, met name de term “achterdeur” en de beschrijving van bewakingsfoto's die zijn opgeslagen op het apparaat van een gebruiker. Maar zoals we hieronder zullen uitleggen, vraagt het gebruikers om veel vertrouwen in Apple te stellen, terwijl het bedrijf wereldwijd onder druk staat van de overheid.
Wat is het einde van de dag? -Encryptie beëindigen, alweer?
Om enorm te vereenvoudigen, maakt end-to-end-codering (of E2EE) gegevens onleesbaar voor iedereen behalve de afzender en ontvanger; met andere woorden, zelfs het bedrijf dat de app uitvoert, kan het niet zien. Minder veilige systemen kunnen nog steeds worden versleuteld, maar bedrijven kunnen de sleutels van de gegevens bezitten, zodat ze bestanden kunnen scannen of toegang kunnen verlenen aan wetshandhavingsinstanties. Apple's iMessages gebruiken E2EE; iCloud-foto's niet, net als veel andere cloudopslagservices.
Hoewel E2EE ongelooflijk effectief kan zijn, weerhoudt het mensen er niet per se van om gegevens op de telefoon zelf te zien. Dat laat de deur open voor specifieke soorten bewaking, waaronder een systeem waarvan Apple nu wordt beschuldigd dat het is toegevoegd: client-side scanning.
Wat is client-side scanning?< /strong>
De Electronic Frontier Foundation heeft een gedetailleerd overzicht van client-side scanning. Kortom, het gaat om het analyseren van bestanden of berichten in een app voordat ze in gecodeerde vorm worden verzonden, vaak controleren op aanstootgevende inhoud – en daarbij de beveiligingen van E2EE omzeilen door het apparaat zelf te targeten. In een telefoongesprek met The Verge vergeleek EFF senior staftechnoloog Erica Portnoy deze systemen met iemand die over je schouder meekijkt terwijl je een beveiligd bericht verzendt op je telefoon.
Scant Apple aan de clientzijde?
Apple ontkent dit ten stelligste. In een document met veelgestelde vragen staat dat Berichten nog steeds end-to-end gecodeerd zijn en dat er absoluut geen details over specifieke berichtinhoud worden vrijgegeven aan wie dan ook, inclusief ouders. “Apple krijgt nooit toegang tot communicatie als gevolg van deze functie in Berichten”, belooft het.
Het verwerpt ook de framing dat het foto's op uw apparaat scant voor CSAM. “Door het ontwerp is deze functie alleen van toepassing op foto's die de gebruiker ervoor kiest om te uploaden naar iCloud”, zegt de veelgestelde vragen. “Het systeem werkt niet voor gebruikers die iCloud-foto's hebben uitgeschakeld. Deze functie werkt niet op uw privé-iPhone-fotobibliotheek op het apparaat.” Het bedrijf verduidelijkte later aan verslaggevers dat Apple iCloud-foto's kon scannen die zijn gesynchroniseerd via services van derden, evenals zijn eigen apps.
Zoals Apple erkent, heeft iCloud Photos zelfs geen E2EE om te breken, dus het zou deze scans gemakkelijk op zijn servers kunnen uitvoeren – net als veel andere bedrijven. Apple stelt dat zijn systeem eigenlijk veiliger is. Het is onwaarschijnlijk dat de meeste gebruikers CSAM op hun telefoon hebben, en Apple beweert dat slechts ongeveer 1 op de 1 biljoen accounts onjuist kunnen worden gemarkeerd. Met dit lokale scansysteem zegt Apple dat het geen informatie over de foto's van iemand anders zal onthullen, wat niet waar zou zijn als het zijn servers zou scannen.
Zijn de argumenten van Apple overtuigend?
Niet voor veel van zijn critici. Zoals Ben Thompson op Stratechery schrijft, gaat het er niet om of Apple alleen meldingen naar ouders stuurt of zijn zoekopdrachten beperkt tot specifieke inhoudscategorieën. Het is dat het bedrijf gegevens doorzoekt voordat het je telefoon verlaat.
In plaats van CSAM-scannen toe te voegen aan iCloud-foto's in de cloud die ze bezitten en beheren, compromitteert Apple de telefoon die u en ik bezitten en gebruiken, zonder dat iemand van ons er iets over te zeggen heeft. Ja, je kunt iCloud-foto's uitschakelen om het scannen van Apple uit te schakelen, maar dat is een beleidsbeslissing; de mogelijkheid om in de telefoon van een gebruiker te reiken bestaat nu en er is niets dat een iPhone-gebruiker kan doen om er vanaf te komen.
CSAM is illegaal en weerzinwekkend. Maar zoals de open brief aan Apple opmerkt, hebben veel landen gepusht om encryptie te compromitteren in naam van de bestrijding van terrorisme, verkeerde informatie en andere aanstootgevende inhoud. Nu Apple dit precedent heeft geschapen, zal het vrijwel zeker te maken krijgen met oproepen om het uit te breiden. En als Apple later end-to-end-encryptie voor iCloud uitrolt – iets dat naar verluidt wordt overwogen, hoewel het nooit is geïmplementeerd – heeft het een mogelijke routekaart opgesteld om de beveiligingen van E2EE te omzeilen.
Apple zegt dat het alle oproepen om misbruik te maken van zijn systemen zal weigeren. En het biedt veel voorzorgsmaatregelen: het feit dat ouders geen waarschuwingen voor oudere tieners in Berichten kunnen inschakelen, dat de veiligheidsvouchers van iCloud zijn gecodeerd, dat het een drempel instelt voor het waarschuwen van moderators en dat de zoekopdrachten alleen in de VS en strikt beperkt zijn naar de NCMEC-database.
De CSAM-detectiemogelijkheid van Apple is uitsluitend gebouwd om bekende CSAM-afbeeldingen te detecteren die zijn opgeslagen in iCloud-foto's en die zijn geïdentificeerd door experts van NCMEC en andere kinderveiligheidsgroepen. We hebben eerder te maken gehad met eisen om door de overheid opgelegde wijzigingen te bouwen en uit te voeren die de privacy van gebruikers aantasten, en hebben die eisen standvastig afgewezen. We zullen ze in de toekomst blijven weigeren. Laat ons duidelijk zijn, deze technologie is beperkt tot het detecteren van CSAM opgeslagen in iCloud en we zullen niet ingaan op een verzoek van een overheid om het uit te breiden.
Het probleem is dat Apple de macht heeft om deze beveiligingen aan te passen. “De helft van het probleem is dat het systeem zo makkelijk te veranderen is”, zegt Portnoy. Apple is bij een aantal botsingen met regeringen bij de pakken blijven zitten; het trotseerde beroemd een vraag van het Federal Bureau of Investigation naar gegevens van de iPhone van een massaschieter. Maar het gaat in op andere verzoeken, zoals het lokaal opslaan van Chinese iCloud-gegevens, zelfs als het beweert dat het de gebruikersbeveiliging niet in gevaar heeft gebracht door dit te doen.
Alex Stamos, professor aan het Stanford Internet Observatory, vroeg zich ook af hoe goed Apple had samengewerkt met de grotere gemeenschap van versleutelingsexperts, en zei dat het bedrijf had geweigerd deel te nemen aan een reeks discussies over veiligheid, privacy en versleuteling. “Met deze aankondiging zijn ze gewoon het evenwichtsdebat binnengedrongen en hebben ze iedereen tot in de verste uithoeken geduwd zonder openbare raadpleging of debat”, tweette hij.
Wat zijn de voordelen van Apple's nieuwe functies op tegen de risico's?
Zoals gewoonlijk is het ingewikkeld — en het hangt er deels van af of je deze wijziging ziet als een beperkte uitzondering of als een deur die opengaat.
Apple heeft legitieme redenen om zijn inspanningen op het gebied van kinderbescherming op te voeren. Eind 2019 publiceerde The New York Times berichten over een ‘epidemie’ van online seksueel misbruik van kinderen. Het bekritiseerde Amerikaanse technologiebedrijven omdat ze de verspreiding van CSAM niet hadden aangepakt, en in een later artikel wees NCMEC Apple uit vanwege zijn lage rapportagepercentages in vergelijking met vergelijkbare bedrijven als Facebook, iets wat de Times gedeeltelijk toeschreef aan het feit dat het bedrijf geen iCloud-bestanden scande.
Ondertussen hebben interne Apple-documenten gezegd dat iMessage een seksueel roofdierprobleem heeft. In documenten die zijn onthuld tijdens de recente Epic v. Apple-proef, noemde een afdelingshoofd van Apple “kinderroofdierverzorging” als een te weinig beschikbare “actieve bedreiging” voor het platform. Verzorging omvat vaak het sturen van kinderen (of het vragen van kinderen om te verzenden) seksueel expliciete afbeeldingen, en dat is precies wat de nieuwe functie Berichten van Apple probeert te verstoren.
Tegelijk heeft Apple privacy zelf een 'mensenrecht' genoemd. Telefoons zijn intieme apparaten vol gevoelige informatie. Met de wijzigingen in Berichten en iCloud heeft Apple twee manieren laten zien om inhoud rechtstreeks op de hardware te zoeken of te analyseren, in plaats van nadat je gegevens naar een derde partij hebt gestuurd, zelfs als het gegevens analyseert die je toestemming hebt gegeven om te verzenden, zoals iCloud-foto's.
Apple heeft de bezwaren tegen de updates erkend. Maar tot nu toe heeft het geen plannen aangegeven om ze te wijzigen of op te geven. Op vrijdag erkende een interne memo “misverstanden”, maar prees de veranderingen. “Wat we vandaag hebben aangekondigd, is het product van deze ongelooflijke samenwerking, een die tools levert om kinderen te beschermen, maar die ook Apple's diepe toewijding aan de privacy van gebruikers handhaaft”, staat er. “We weten dat sommige mensen misverstanden hebben, en meer dan enkelen maken zich zorgen over de implicaties, maar we zullen doorgaan met het uitleggen en detailleren van de functies zodat mensen begrijpen wat we hebben gebouwd.”