Apple sätter sitt rykte på integritet. Företaget har främjat krypterade meddelanden över sitt ekosystem, uppmuntrat gränser för hur mobilappar kan samla in data och kämpat mot brottsbekämpande myndigheter som letar efter användarposter. Men den senaste veckan har Apple kämpat med anklagelser om att dess kommande iOS- och iPadOS -version kommer att försvaga användarnas integritet.
Debatten härrör från ett meddelande som Apple gjorde på torsdagen. I teorin är idén ganska enkel: Apple vill bekämpa sexuella övergrepp mot barn, och det tar fler steg för att hitta och stoppa det. Men kritiker säger att Apples strategi kan försvaga användarnas kontroll över sina egna telefoner och lämna dem beroende av Apples löfte om att den inte kommer att missbruka sin makt. Och Apples svar har belyst hur komplicerat – och ibland rent av förvirrande – konversationen verkligen är.
Vad tillkännagav Apple förra veckan?
Apple har meddelat tre ändringar som kommer att lanseras senare i år – alla relaterade till att begränsa sexuella övergrepp mot barn men inriktade på olika appar med olika funktioner uppsättningar.
Den första ändringen påverkar Apples Search -app och Siri. Om en användare söker efter ämnen som rör sexuella övergrepp mot barn kommer Apple att hänvisa dem till resurser för att rapportera det eller få hjälp med att locka till det. Det rullar ut senare i år på iOS 15, watchOS 8, iPadOS 15 och macOS Monterey, och det är i stort sett okontroversiellt.
De andra uppdateringarna har dock genererat mycket mer motreaktion. En av dem lägger till ett alternativ för föräldrakontroll i Meddelanden, döljer sexuellt explicita bilder för användare under 18 år och skickar föräldrar en varning om ett barn 12 eller under tittar eller skickar dessa bilder.
Den sista nya funktionen skannar iCloud Photos -bilder för att hitta material för sexuella övergrepp mot barn, eller CSAM, och rapporterar det till Apples moderatorer – som kan vidarebefordra det till National Center for Missing and Exploited Children eller NCMEC. Apple säger att den har utformat den här funktionen specifikt för att skydda användarnas integritet och samtidigt hitta olagligt innehåll. Kritiker säger att samma mönster utgör en säkerhetsdörr.
Vad gör Apple med meddelanden?
Apple introducerar en meddelandefunktion som är avsedd att skydda barn från olämpliga bilder. Om föräldrar väljer det, skannar enheter med användare under 18 år inkommande och utgående bilder med en bildklassificerare utbildad i pornografi och letar efter “sexuellt explicit” innehåll. (Apple säger att det inte är tekniskt begränsat till nakenhet utan att ett nakenhetsfilter är en rättvis beskrivning.) Om klassificeraren upptäcker detta innehåll döljer det bilden i fråga och frågar användaren om de verkligen vill se eller skicka det.
:no_upscale()/cdn.v.com/plo /chorus_asset/file/22774655/CCEA6371_9191_46CC_BDE4_B2DAB4CC4409.jpeg "Apples kontroversiella nya barnskyddsfunktioner, förklarade")
En skärmdump av Apples meddelandefilter för sexuellt explicit innehåll. Bild: Apple Uppdateringen – kommer till konton som konfigurerats som familjer i iCloud på iOS 15, iPadOS 15 och macOS Monterey – innehåller också ett ytterligare alternativ. Om en användare slår igenom den varningen och de är under 13 år kan meddelanden meddela en förälder att de har gjort det. Barn kommer att se en bildtext som varnar för att deras föräldrar kommer att få meddelandet, och föräldrarna kommer inte att se det faktiska meddelandet. Systemet rapporterar ingenting till Apples moderatorer eller andra parter.
Bilderna upptäcks på enheten, vilket Apple säger skyddar integriteten. Och föräldrar meddelas om barn faktiskt bekräftar att de vill se eller skicka vuxeninnehåll, inte om de bara får det. Samtidigt har kritiker som Harvard Cyberlaw Clinic -instruktören Kendra Albert väckt farhågor om meddelandena – säger att de kan sluta med att utforska queer- eller transpersoner, till exempel genom att uppmuntra sina föräldrar att snoka på dem.
Vad gör Apples nya skanningssystem för iCloud -foton?
Skanningssystemet iCloud Photos är inriktat på att hitta bilder på sexuella övergrepp mot barn som är olagliga att inneha. Om du är en amerikansk iOS- eller iPadOS-användare och synkroniserar bilder med iCloud-foton, kontrollerar enheten lokalt dessa bilder mot en lista över kända CSAM. Om den upptäcker tillräckligt många matchningar kommer den att varna Apples moderatorer och avslöja detaljerna i matcherna. Om en moderator bekräftar förekomsten av CSAM, inaktiverar de kontot och rapporterar bilderna till juridiska myndigheter.
Skannar CSAM en ny idé? < /h2>
Inte alls. Facebook, Twitter, Reddit och många andra företag skannar användarnas filer mot hashbibliotek, ofta med ett Microsoft-byggt verktyg som heter PhotoDNA. De är också juridiskt skyldiga att rapportera CSAM till National Center for Missing and Exploited Children (NCMEC), en ideell organisation som arbetar tillsammans med brottsbekämpning.
Apple har dock begränsat sina ansträngningar fram till nu. Företaget har tidigare sagt att det använder teknik för bildmatchning för att hitta barnutnyttjande. Men i ett samtal med journalister sa det att det aldrig har skannat data från iCloud Photos. (Den bekräftade att den redan skannade iCloud Mail men gav inte mer information om att skanna andra Apple -tjänster.)
Är Apples nya system annorlunda än andra företags skanningar?
En typisk CSAM -skanning körs på distans och tittar på filer som är lagrade på en server. Apples system däremot söker efter matchningar lokalt på din iPhone eller iPad.
Systemet fungerar enligt följande. När iCloud -foton är aktiverat på en enhet använder enheten ett verktyg som heter NeuralHash för att bryta dessa bilder i hash – i princip strängar av siffror som identifierar en bilds unika egenskaper men som inte kan rekonstrueras för att avslöja själva bilden. Sedan jämför den dessa hashningar med en lagrad lista med hash från NCMEC, som sammanställer miljontals hash som motsvarar känt CSAM -innehåll. (Återigen, som nämnts ovan finns det inga faktiska bilder eller videor.)
Om Apples system hittar en matchning genererar din telefon en “säkerhetsbevis” som laddas upp till iCloud -foton. Varje säkerhetsbevis indikerar att det finns en matchning, men det varnar inga moderatorer och det krypterar detaljerna, så en Apple -anställd kan inte titta på den och se vilket foto som matchade. Men om ditt konto genererar ett visst antal kuponger, dekrypteras alla kuponger och flaggas till Apples mänskliga moderatorer – som sedan kan granska fotona och se om de innehåller CSAM.
Apple betonar att det uteslutande tittar på foton som du synkroniserar med iCloud, inte de som bara lagras på din enhet. Det berättar för reportrar att inaktivering av iCloud -foton helt inaktiverar alla delar av skanningssystemet, inklusive den lokala hashgenerationen. “Om användare inte använder iCloud-foton kommer NeuralHash inte att köras och kommer inte att generera några kuponger”, sa Apples sekretesschef Erik Neuenschwander till TechCrunch i en intervju.
Apple har använt på enheten bearbetning för att stärka sina sekretessuppgifter tidigare. iOS kan utföra mycket AI -analys utan att till exempel skicka någon av dina data till molnservrar, vilket innebär färre chanser för en tredje part att få tag på den.
Men den lokala/avlägsna skillnaden här är enormt omtvistad, och efter en motreaktion har Apple de senaste dagarna dragit extremt subtila linjer mellan de två.
Varför är vissa människor upprörd över dessa förändringar?
Innan vi går in i kritiken är det värt att säga: Apple har fått beröm för dessa uppdateringar från några sekretess- och säkerhetsexperter, inklusive de framstående kryptograferna och datavetenskapsmännen Mihir Bellare, David Forsyth och Dan Boneh. “Det här systemet kommer sannolikt att öka sannolikheten för att människor som äger eller trafikerar i [CSAM] avsevärt,” säger Forsyth i ett godkännande från Apple. “Oskadliga användare bör uppleva minimal eller ingen förlust av integritet.”
Men andra experter och påverkansgrupper har kommit ut mot förändringarna. De säger att iCloud- och Messages -uppdateringarna har samma problem: de skapar övervakningssystem som fungerar direkt från din telefon eller surfplatta. Det kan ge en plan för att bryta säker end-to-end-kryptering, och även om användningen är begränsad just nu kan det öppna dörren till mer oroande integritetsintrång.
En 6 augusti öppet brev beskriver klagomålen mer detaljerat. Här är dess beskrivning av vad som händer:
Även om barnutnyttjande är ett allvarligt problem, och medan ansträngningarna att bekämpa det nästan utan tvekan är välmenade, introducerar Apples förslag en bakdörr som hotar att undergräva grundläggande integritetsskydd för alla användare av Apple -produkter.
Apples föreslagna teknik fungerar genom att kontinuerligt övervaka foton som sparats eller delats på användarens iPhone, iPad eller Mac. Ett system upptäcker om ett visst antal stötande foton upptäcks i iCloud -lagring och varnar myndigheterna. En annan meddelar ett barns föräldrar om iMessage används för att skicka eller ta emot foton som en algoritm för maskininlärning anser innehålla nakenhet.
Eftersom båda kontrollerna utförs på användarens enhet har de potential att kringgå all end-to-end-kryptering som annars skulle skydda användarens integritet.
Apple har bestritt karakteriseringarna ovan, särskilt termen “bakdörr” och beskrivningen av övervakningsfoton sparade på en användares enhet. Men som vi kommer att förklara nedan, är det att be användarna att lita mycket på Apple, medan företaget står inför regeringstryck runt om i världen.
Vad är slut -änd kryptering, igen?
För att förenkla massivt gör end-to-end-kryptering (eller E2EE) data oläsliga för alla förutom avsändaren och mottagaren; med andra ord, inte ens företaget som driver appen kan se den. Mindre säkra system kan fortfarande krypteras, men företag kan ha nycklar till data så att de kan skanna filer eller ge tillgång till brottsbekämpning. Apples iMessages använder E2EE; iCloud Photos, precis som många molntjänster, gör inte det.
E2EE kan vara otroligt effektivt, men det hindrar inte nödvändigtvis människor från att se data på själva telefonen. Det lämnar dörren öppen för specifika typer av övervakning, inklusive ett system som Apple nu anklagas för att lägga till: skanning på klientsidan.
Vad är skanning på klientsidan? < /strong>
Electronic Frontier Foundation har en detaljerad översikt över skanning på klientsidan. I grund och botten handlar det om att analysera filer eller meddelanden i en app innan de skickas i krypterad form, ofta söka efter stötande innehåll – och i processen, kringgå skyddet för E2EE genom att rikta in sig på själva enheten. I ett telefonsamtal med The Verge jämförde EFF: s seniortekniker Erica Portnoy dessa system med någon som tittar över axeln medan du skickar ett säkert meddelande till din telefon.
Gör Apple skanning på klientsidan?
Apple förnekar det häftigt. I ett vanligt förekommande frågedokument står det att meddelanden fortfarande är änd-to-end-krypterade och absolut inga detaljer om specifikt meddelandeinnehåll släpps till någon, inklusive föräldrar. “Apple får aldrig tillgång till kommunikation till följd av den här funktionen i meddelanden”, lovar det.
Det avvisar också inramningen att det skannar foton på din enhet efter CSAM. “Designen gäller den här funktionen bara för foton som användaren väljer att ladda upp till iCloud”, står det i vanliga frågor. ”Systemet fungerar inte för användare som har iCloud -foton inaktiverade. Den här funktionen fungerar inte på ditt privata iPhone -fotobibliotek på enheten. ” Företaget klargjorde senare för reportrar att Apple kunde skanna iCloud Photos-bilder synkroniserade via tjänster från tredje part samt egna appar.
Som Apple erkänner har iCloud Photos inte ens någon E2EE att bryta, så det kan enkelt köra dessa skanningar på sina servrar – precis som många andra företag. Apple hävdar att systemet faktiskt är säkrare. Det är osannolikt att de flesta användare har CSAM på sin telefon, och Apple hävdar att endast cirka 1 av 1 biljon konton kan flaggas felaktigt. Med det här lokala skanningssystemet säger Apple att det inte kommer att avslöja någon information om någon annans foton, vilket inte vore sant om det skannade dess servrar.
Är Apples argument övertygande?
Inte för många av dess kritiker. Som Ben Thompson skriver på Stratechery, är frågan inte om Apple bara skickar meddelanden till föräldrar eller begränsar sina sökningar till specifika kategorier av innehåll. Det är att företaget söker igenom data innan det lämnar din telefon.
I stället för att lägga till CSAM -skanning till iCloud -foton i molnet som de äger och driver, äventyrar Apple telefon som du och jag äger och driver, utan att någon av oss har något att säga till om. Ja, du kan stänga av iCloud -foton för att inaktivera Apples skanning, men det är ett policybeslut; möjligheten att nå in i en användares telefon finns nu, och det finns inget som en iPhone -användare kan göra för att bli av med den.
CSAM är olagligt och avskyvärt. Men som det öppna brevet till Apple noterar har många länder drivit på att kompromissa med kryptering för att bekämpa terrorism, desinformation och annat stötande innehåll. Nu när Apple har skapat detta prejudikat kommer det nästan säkert att möta samtal om att utöka det. Och om Apple senare rullar ut end-to-end-kryptering för iCloud-något som det enligt uppgift anses ha gjort, om än aldrig implementerat-har det lagts upp en möjlig färdplan för att komma runt E2EE: s skydd.
Apple säger att det kommer att vägra alla samtal för att missbruka sina system. Och det har många skyddsåtgärder: det faktum att föräldrar inte kan aktivera varningar för äldre tonåringar i meddelanden, att iClouds säkerhetsbevis är krypterade, att det sätter en tröskel för att varna moderatorer och att sökningarna är endast i USA och strikt begränsade till NCMECs databas.
Apples förmåga att upptäcka CSAM är enbart byggd för att upptäcka kända CSAM -bilder lagrade i iCloud -foton som har identifierats av experter på NCMEC och andra barnsäkerhetsgrupper. Vi har ställts inför krav på att bygga och distribuera regeringens mandatförändringar som försämrar användarnas integritet tidigare och har bestämt vägrat dessa krav. Vi kommer att fortsätta att vägra dem i framtiden. Låt oss vara tydliga, denna teknik är begränsad till att upptäcka CSAM lagrad i iCloud och vi kommer inte att följa någon myndighets begäran om att utöka den.
Problemet är att Apple har möjlighet att ändra dessa skyddsåtgärder. “Halva problemet är att systemet är så enkelt att ändra”, säger Portnoy. Apple har fastnat för sina vapen i vissa sammandrabbningar med regeringar; det trotsade berömt en Federal Bureau of Investigation -efterfrågan på data från en massskytts iPhone. Men det är anslutet till andra förfrågningar som att lagra kinesiska iCloud -data lokalt, även om det hävdar att det inte har äventyrat användarsäkerheten genom att göra det.
Stanford Internet Observatory professor Alex Stamos ifrågasatte också hur bra Apple hade arbetat med den större krypteringsexpertgruppen och sa att företaget hade avböjt att delta i en rad diskussioner om säkerhet, integritet och kryptering. “Med detta tillkännagivande kom de bara in i balansdebatten och drev alla in i de längsta hörnen utan offentligt samråd eller debatt”, twittrade han.
Hur gör fördelarna med Apples nya funktioner stöter mot riskerna?
Som vanligt är det komplicerat – och det beror delvis på om du ser den här förändringen som ett begränsat undantag eller en dörr som kan öppnas.
Apple har legitima skäl att öka sina barns skyddsåtgärder. I slutet av 2019 publicerade New York Times rapporter om en “epidemi” i sexuella övergrepp mot barn online. Det sprängde amerikanska teknikföretag för att de inte lyckades ta itu med spridningen av CSAM, och i en senare artikel pekade NCMEC ut Apple för sina låga rapporteringsfrekvenser jämfört med kamrater som Facebook, något Times tillskrivit delvis till att företaget inte skannade iCloud -filer.
Under tiden har interna Apple -dokument sagt att iMessage har ett sexuellt rovdjursproblem. I dokument som avslöjades av den senaste Epic v. Apple-rättegången ansåg en avdelningschef för Apple att “rovdjur för barn rovdjur” var ett “aktivt hot” för plattformen under resurser. Grooming inkluderar ofta att skicka barn (eller be barn att skicka) sexuellt explicita bilder, vilket är exakt vad Apples nya meddelandefunktion försöker störa.
Samtidigt har Apple själv kallat integritet för en “mänsklig rättighet”. Telefoner är intima enheter fulla av känslig information. Med sina meddelanden och iCloud -ändringar har Apple visat två sätt att söka eller analysera innehåll direkt på hårdvaran snarare än efter att du har skickat data till en tredje part, även om det analyserar data som du har samtyckt till att skicka, som iCloud -foton.
Apple har bekräftat invändningarna mot sina uppdateringar. Men hittills har det inte angett planer på att ändra eller överge dem. På fredagen erkände ett internt memo ”missförstånd” men hyllade förändringarna. “Det vi tillkännagav idag är produkten av detta otroliga samarbete, ett som levererar verktyg för att skydda barn, men också bibehåller Apples djupa engagemang för användarnas integritet”, står det. “Vi vet att vissa människor har missförstånd, och fler än några är oroliga för konsekvenserna, men vi kommer att fortsätta att förklara och detaljera funktionerna så att folk förstår vad vi har byggt.”