Apple punta la sua reputazione sulla privacy. La società ha promosso la messaggistica crittografata in tutto il suo ecosistema, ha incoraggiato i limiti su come le app mobili possono raccogliere dati e ha combattuto le forze dell'ordine alla ricerca dei record degli utenti. Nell'ultima settimana, tuttavia, Apple ha combattuto le accuse secondo cui la sua prossima versione di iOS e iPadOS indebolirebbe la privacy degli utenti.
Il dibattito nasce da un annuncio che Apple ha fatto giovedì. In teoria, l'idea è piuttosto semplice: Apple vuole combattere gli abusi sessuali sui minori e sta facendo più passi per trovarli e fermarli. Ma i critici affermano che la strategia di Apple potrebbe indebolire il controllo degli utenti sui propri telefoni, lasciandoli dipendenti dalla promessa di Apple di non abusare del suo potere. E la risposta di Apple ha evidenziato quanto sia complicata, e talvolta addirittura sconcertante, la conversazione.
Cosa ha annunciato Apple la scorsa settimana?
Apple ha annunciato tre modifiche che verranno introdotte entro la fine dell'anno, tutte relative alla riduzione degli abusi sessuali sui minori ma mirate a diverse app con funzionalità diverse set.
La prima modifica riguarda l'app Ricerca di Apple e Siri. Se un utente cerca argomenti relativi all'abuso sessuale su minori, Apple lo indirizzerà alle risorse per segnalarlo o ottenere aiuto per l'attrazione. Questo verrà lanciato entro la fine dell'anno su iOS 15, watchOS 8, iPadOS 15 e macOS Monterey, ed è in gran parte incontrovertibile.
Gli altri aggiornamenti, tuttavia, hanno generato molti più contraccolpi. Uno di questi aggiunge un'opzione di controllo parentale a Messaggi, oscurando le immagini sessualmente esplicite per gli utenti di età inferiore ai 18 anni e inviando un avviso ai genitori se un bambino di età inferiore a 12 anni visualizza o invia queste immagini.
L'ultima nuova funzionalità esegue la scansione delle immagini di iCloud Photos per trovare materiale pedopornografico, o CSAM, e lo segnala ai moderatori Apple, che possono trasmetterlo al National Center for Missing and Exploited Children o NCMEC. Apple afferma di aver progettato questa funzione specificamente per proteggere la privacy degli utenti durante la ricerca di contenuti illegali. I critici dicono che gli stessi design equivalgono a una backdoor di sicurezza.
Cosa sta facendo Apple con i messaggi?
Apple sta introducendo una funzione Messaggi che ha lo scopo di proteggere i bambini da immagini inappropriate. Se i genitori aderiscono, i dispositivi con utenti di età inferiore ai 18 anni scansioneranno le immagini in entrata e in uscita con un classificatore di immagini addestrato alla pornografia, alla ricerca di contenuti “sessualmente espliciti”. (Apple afferma che non è tecnicamente limitato alla nudità, ma che un filtro per la nudità è una descrizione corretta.) Se il classificatore rileva questo contenuto, oscura l'immagine in questione e chiede all'utente se desidera davvero visualizzarla o inviarla.
:no_upscale()/cdn.vox-cdn.com/upload /chorus_asset/file/22774655/CCEA6371_9191_46CC_BDE4_B2DAB4CC4409.jpeg "Spiegazione delle controverse nuove funzionalità di protezione dei bambini di Apple")
Uno screenshot del filtro Messaggi di Apple per i contenuti sessualmente espliciti. Immagine: mela L'aggiornamento, in arrivo per gli account configurati come famiglie in iCloud su iOS 15, iPadOS 15 e macOS Monterey, include anche un'opzione aggiuntiva. Se un utente tocca quell'avviso e ha meno di 13 anni, Messaggi sarà in grado di informare un genitore che lo ha fatto. I bambini vedranno una didascalia che avverte che i loro genitori riceveranno la notifica e i genitori non vedranno il messaggio effettivo. Il sistema non segnala nulla ai moderatori Apple o ad altre parti.
Le immagini vengono rilevate sul dispositivo, che secondo Apple protegge la privacy. E i genitori vengono avvisati se i bambini confermano effettivamente di voler vedere o inviare contenuti per adulti, non se semplicemente li ricevono. Allo stesso tempo, critici come l'istruttrice della Harvard Cyberlaw Clinic Kendra Albert hanno espresso preoccupazione per le notifiche, affermando che potrebbero finire per uscire con bambini queer o transgender, ad esempio, incoraggiando i loro genitori a curiosare su di loro.
A cosa serve il nuovo sistema di scansione di foto iCloud di Apple?
Il sistema di scansione di iCloud Photos si concentra sulla ricerca di immagini di abusi sessuali su minori, il cui possesso è illegale. Se sei un utente iOS o iPadOS con sede negli Stati Uniti e sincronizzi le immagini con Foto di iCloud, il tuo dispositivo controllerà localmente queste immagini rispetto a un elenco di CSAM noti. Se rileva abbastanza corrispondenze, avviserà i moderatori di Apple e rivelerà i dettagli delle corrispondenze. Se un moderatore conferma la presenza di CSAM, disattiverà l'account e segnalerà le immagini alle autorità legali.
La scansione di CSAM è una nuova idea?< /h2>
Niente affatto. Facebook, Twitter, Reddit e molte altre aziende scansionano i file degli utenti contro le librerie hash, spesso utilizzando uno strumento creato da Microsoft chiamato PhotoDNA. Sono inoltre tenuti per legge a segnalare CSAM al National Center for Missing and Exploited Children (NCMEC), un'organizzazione non profit che collabora con le forze dell'ordine.
Tuttavia, fino ad ora Apple ha limitato i suoi sforzi. La società ha affermato in precedenza di utilizzare la tecnologia di corrispondenza delle immagini per trovare lo sfruttamento dei minori. Ma in una chiamata con i giornalisti, ha detto che non ha mai scansionato i dati di iCloud Photos. (Ha confermato di aver già scansionato iCloud Mail ma non ha offerto ulteriori dettagli sulla scansione di altri servizi Apple.)
Il nuovo sistema di Apple è diverso dalle scansioni di altre aziende?
Una tipica scansione CSAM viene eseguita in remoto e esamina i file archiviati su un server. Il sistema di Apple, invece, verifica le corrispondenze localmente sul tuo iPhone o iPad.
Il sistema funziona come segue. Quando iCloud Photos è abilitato su un dispositivo, il dispositivo utilizza uno strumento chiamato NeuralHash per suddividere queste immagini in hash, fondamentalmente stringhe di numeri che identificano le caratteristiche uniche di un'immagine ma non possono essere ricostruite per rivelare l'immagine stessa. Quindi, confronta questi hash con un elenco memorizzato di hash da NCMEC, che compila milioni di hash corrispondenti al contenuto CSAM noto. (Ancora una volta, come accennato in precedenza, non ci sono immagini o video reali.)
Se il sistema di Apple trova una corrispondenza, il telefono genera un “voucher di sicurezza” che viene caricato su iCloud Photos. Ogni voucher di sicurezza indica che esiste una corrispondenza, ma non avvisa alcun moderatore e crittografa i dettagli, quindi un dipendente Apple non può guardarlo e vedere quale foto corrisponde. Tuttavia, se il tuo account genera un certo numero di voucher, i voucher vengono tutti decifrati e segnalati ai moderatori umani di Apple, che possono quindi rivedere le foto e vedere se contengono CSAM.
Apple sottolinea che sta esaminando esclusivamente le foto che sincronizzi con iCloud, non quelle che sono archiviate solo sul tuo dispositivo. Dice ai giornalisti che disabilitare le foto di iCloud disattiverà completamente tutte le parti del sistema di scansione, inclusa la generazione di hash locale. “Se gli utenti non utilizzano le foto di iCloud, NeuralHash non verrà eseguito e non genererà alcun voucher”, ha dichiarato a TechCrunch il responsabile della privacy di Apple Erik Neuenschwander in un'intervista.
Apple ha utilizzato sul dispositivo elaborazione per rafforzare le sue credenziali di privacy in passato. iOS può eseguire molte analisi AI senza inviare i tuoi dati ai server cloud, ad esempio, il che significa meno possibilità per una terza parte di metterci le mani sopra.
Ma la distinzione locale/remoto qui è estremamente controversa e, a seguito di un contraccolpo, Apple ha trascorso gli ultimi giorni a tracciare linee estremamente sottili tra i due.
Perché alcune persone sconvolto da questi cambiamenti?
Prima di entrare nelle critiche, vale la pena dire: Apple ha ricevuto elogi per questi aggiornamenti da alcuni esperti di privacy e sicurezza, inclusi i famosi crittografi e scienziati informatici Mihir Bellare, David Forsyth e Dan Boneh. “Questo sistema probabilmente aumenterà in modo significativo la probabilità che vengano trovate persone che possiedono o trafficano in [CSAM]”, ha affermato Forsyth in un'approvazione fornita da Apple. “Gli utenti innocui dovrebbero subire una perdita di privacy minima o nulla.”
Ma altri esperti e gruppi di advocacy si sono schierati contro i cambiamenti. Dicono che gli aggiornamenti di iCloud e Messaggi abbiano lo stesso problema: stanno creando sistemi di sorveglianza che funzionano direttamente dal tuo telefono o tablet. Ciò potrebbe fornire un modello per violare la crittografia end-to-end sicura e, anche se il suo utilizzo è limitato in questo momento, potrebbe aprire la porta a più preoccupanti invasioni della privacy.
Un La lettera aperta del 6 agosto delinea le denunce in modo più dettagliato. Ecco la sua descrizione di ciò che sta accadendo:
Mentre lo sfruttamento minorile è un problema serio e gli sforzi per combatterlo sono quasi senza dubbio ben intenzionati, la proposta di Apple introduce una backdoor che minaccia di minare le fondamentali protezioni della privacy per tutti gli utenti dei prodotti Apple.
La tecnologia proposta da Apple funziona monitorando continuamente le foto salvate o condivise sull'iPhone, iPad o Mac dell'utente. Un sistema rileva se viene rilevato un certo numero di foto discutibili nell'archivio iCloud e avvisa le autorità. Un altro avvisa i genitori di un bambino se iMessage viene utilizzato per inviare o ricevere foto che un algoritmo di machine learning considera contenere nudità.
Poiché entrambi i controlli vengono eseguiti sul dispositivo dell'utente, hanno il potenziale per aggirare qualsiasi crittografia end-to-end che altrimenti salvaguarderebbe la privacy dell'utente.
Apple ha contestato le caratterizzazioni di cui sopra, in particolare il termine “backdoor” e la descrizione delle foto di monitoraggio salvate sul dispositivo di un utente. Ma come spiegheremo di seguito, chiede agli utenti di riporre molta fiducia in Apple, mentre l'azienda sta affrontando le pressioni del governo in tutto il mondo.
Che fine fa -end crittografia, di nuovo?
Per semplificare enormemente, la crittografia end-to-end (o E2EE) rende i dati illeggibili a chiunque oltre al mittente e al destinatario; in altre parole, nemmeno l'azienda che gestisce l'app può vederlo. I sistemi meno sicuri possono ancora essere crittografati, ma le aziende possono detenere le chiavi dei dati in modo da poter scansionare i file o concedere l'accesso alle forze dell'ordine. iMessage di Apple utilizza E2EE; Foto di iCloud, come molti servizi di archiviazione cloud, no.
Sebbene E2EE possa essere incredibilmente efficace, non impedisce necessariamente alle persone di vedere i dati sul telefono stesso. Ciò lascia la porta aperta a specifici tipi di sorveglianza, incluso un sistema che Apple è ora accusata di aver aggiunto: la scansione lato client.
Che cos'è la scansione lato client?< /strong>
La Electronic Frontier Foundation ha uno schema dettagliato della scansione lato client. Fondamentalmente, comporta l'analisi di file o messaggi in un'app prima che vengano inviati in forma crittografata, spesso verificando la presenza di contenuti discutibili e, nel processo, aggirando le protezioni di E2EE prendendo di mira il dispositivo stesso. In una telefonata con The Verge, la tecnologa senior dello staff EFF Erica Portnoy ha paragonato questi sistemi a qualcuno che ti guardava alle spalle mentre invii un messaggio sicuro sul tuo telefono.
Apple esegue la scansione lato client?
Apple lo nega con veemenza. In un documento di domande frequenti, si afferma che i messaggi sono ancora crittografati end-to-end e non vengono rilasciati assolutamente dettagli sul contenuto specifico del messaggio a nessuno, compresi i genitori. “Apple non ottiene mai l'accesso alle comunicazioni grazie a questa funzione in Messaggi”, promette.
Rifiuta anche l'inquadratura che sta scansionando le foto sul tuo dispositivo per CSAM. “In base alla progettazione, questa funzione si applica solo alle foto che l'utente sceglie di caricare su iCloud”, afferma la sua FAQ. “Il sistema non funziona per gli utenti che hanno disabilitato le foto di iCloud. Questa funzione non funziona sulla tua libreria di foto iPhone privata sul dispositivo.” La società ha successivamente chiarito ai giornalisti che Apple potrebbe scansionare le immagini di iCloud Photos sincronizzate tramite servizi di terze parti e le proprie app.
Come riconosce Apple, iCloud Photos non ha nemmeno alcun E2EE da interrompere, quindi potrebbe facilmente eseguire queste scansioni sui suoi server, proprio come molte altre aziende. Apple sostiene che il suo sistema è in realtà più sicuro. È improbabile che la maggior parte degli utenti abbia CSAM sul proprio telefono e Apple afferma che solo circa 1 su 1 trilione di account potrebbe essere contrassegnato in modo errato. Con questo sistema di scansione locale, Apple afferma che non esporrà alcuna informazione sulle foto di nessun altro, il che non sarebbe vero se scansionasse i suoi server.
Sono gli argomenti di Apple convincente?
Non a molti dei suoi critici. Come scrive Ben Thompson su Stratechery, il problema non è se Apple stia solo inviando notifiche ai genitori o limitando le sue ricerche a specifiche categorie di contenuti. È che l'azienda sta cercando tra i dati prima che lascino il tuo telefono.
Invece di aggiungere la scansione CSAM a iCloud Photos nel cloud che possiede e gestisce, Apple sta compromettendo il telefono che tu ed io possediamo e gestiamo, senza che nessuno di noi abbia voce in capitolo. Sì, puoi disattivare le foto di iCloud per disabilitare la scansione di Apple, ma questa è una decisione politica; la capacità di raggiungere il telefono di un utente ora esiste e non c'è nulla che un utente iPhone possa fare per sbarazzarsene.
CSAM è illegale e ripugnante. Ma come osserva la lettera aperta ad Apple, molti paesi hanno spinto a compromettere la crittografia in nome della lotta al terrorismo, alla disinformazione e ad altri contenuti discutibili. Ora che Apple ha stabilito questo precedente, quasi sicuramente dovrà affrontare chiamate per espanderlo. E se Apple in seguito lancerà la crittografia end-to-end per iCloud – qualcosa che secondo quanto riferito è considerato di fare, anche se mai implementato – ha delineato una possibile tabella di marcia per aggirare le protezioni di E2EE.
Apple dice che rifiuterà qualsiasi chiamata ad abusare dei suoi sistemi. E vanta molte garanzie: il fatto che i genitori non possano abilitare gli avvisi per gli adolescenti più grandi in Messaggi, che i voucher di sicurezza di iCloud siano crittografati, che imposti una soglia per avvisare i moderatori e che le sue ricerche siano solo per gli Stati Uniti e rigorosamente limitate al database di NCMEC.
La capacità di rilevamento CSAM di Apple è progettata esclusivamente per rilevare immagini CSAM note archiviate in iCloud Photos che sono state identificate da esperti di NCMEC e altri gruppi per la sicurezza dei bambini. Abbiamo già affrontato richieste di creare e implementare modifiche imposte dal governo che degradano la privacy degli utenti e abbiamo fermamente rifiutato tali richieste. Continueremo a rifiutarli in futuro. Cerchiamo di essere chiari, questa tecnologia si limita a rilevare il materiale CSAM archiviato in iCloud e non accetteremo alcuna richiesta del governo di espanderlo.
Il problema è che Apple ha il potere di modificare queste garanzie. “Metà del problema è che il sistema è così facile da cambiare”, afferma Portnoy. Apple ha tenuto duro in alcuni scontri con i governi; notoriamente ha sfidato una richiesta del Federal Bureau of Investigation di dati dall'iPhone di uno sparatutto di massa. Ma ha acconsentito ad altre richieste come l'archiviazione locale dei dati iCloud cinesi, anche se insiste sul fatto di non aver compromesso la sicurezza dell'utente così facendo.
Il professore dell'Osservatorio Internet di Stanford, Alex Stamos, ha anche messo in dubbio il modo in cui Apple ha lavorato con la più ampia comunità di esperti di crittografia, affermando che l'azienda ha rifiutato di partecipare a una serie di discussioni su sicurezza, privacy e crittografia. “Con questo annuncio sono appena entrati nel dibattito sul bilanciamento e hanno spinto tutti negli angoli più remoti senza consultazione pubblica o dibattito”, ha twittato.
In che modo i vantaggi di Apple nuove funzionalità si accumulano contro i rischi?
Come al solito, è complicato e dipende in parte dal fatto che tu veda questo cambiamento come un'eccezione limitata o come una porta che si apre.
Apple ha motivi legittimi per intensificare i suoi sforzi per la protezione dei bambini. Alla fine del 2019, il New York Times ha pubblicato rapporti su una “epidemia” di abusi sessuali su minori online. Ha criticato le aziende tecnologiche americane per non aver affrontato la diffusione di CSAM e, in un articolo successivo, NCMEC ha individuato Apple per i suoi bassi tassi di segnalazione rispetto a colleghi come Facebook, qualcosa che il Times ha attribuito in parte alla società che non esegue la scansione dei file iCloud.
Nel frattempo, documenti interni di Apple hanno affermato che iMessage ha un problema con i predatori sessuali. Nei documenti rivelati dal recente processo Epic contro Apple, un capo del dipartimento Apple ha elencato il “predatore di bambini adescamento” come una “minaccia attiva” con risorse insufficienti per la piattaforma. Il grooming spesso include l'invio ai bambini (o la richiesta ai bambini di inviare) immagini sessualmente esplicite, che è esattamente ciò che la nuova funzione Messaggi di Apple sta cercando di interrompere.
Allo stesso tempo, la stessa Apple ha definito la privacy un “diritto umano”. I telefoni sono dispositivi intimi pieni di informazioni sensibili. Con i suoi messaggi e le modifiche di iCloud, Apple ha dimostrato due modi per cercare o analizzare i contenuti direttamente sull'hardware anziché dopo aver inviato i dati a una terza parte, anche se sta analizzando i dati che hai acconsentito a inviare, come le foto di iCloud.
Apple ha riconosciuto le obiezioni ai suoi aggiornamenti. Ma finora non ha indicato piani per modificarli o abbandonarli. Venerdì, una nota interna ha riconosciuto i “malintesi” ma ha elogiato i cambiamenti. “Quello che abbiamo annunciato oggi è il prodotto di questa incredibile collaborazione, che fornisce strumenti per proteggere i bambini, ma mantiene anche il profondo impegno di Apple per la privacy degli utenti”, si legge. “Sappiamo che alcune persone hanno fraintendimenti e più di alcune sono preoccupate per le implicazioni, ma continueremo a spiegare e dettagliare le funzionalità in modo che le persone capiscano cosa abbiamo costruito.”