Jak Apple planuje monitorować użytkowników

Firma Apple planuje wykorzystać swój nowy system CSAM Detection do monitorowania użytkowników i identyfikowania tych, którzy przechowują na swoich urządzeniach pornografię dziecięcą.

Firma Apple planuje wykorzystać swój nowy system CSAM Detection do monitorowania użytkowników i identyfikowania tych, którzy przechowują na swoich urządzeniach pornografię dziecięcą.

Na początku sierpnia 2021 roku Apple zaprezentował nowy system identyfikacji zdjęć przedstawiających wykorzystywanie dzieci. Chociaż wydaje się, że cel — czyli walka z rozpowszechnianiem pornografii dziecięcej — jest bezsprzecznie dobrym posunięciem, informacja ta natychmiast znalazła się pod ostrzałem.

Apple od dawna pielęgnuje wizerunek siebie jako producenta urządzeń, który dba o prywatność użytkowników. Nowe funkcje wyczekiwane dla systemów iOS 15 i iPadOS 15 zadały jednak poważny cios tej reputacji. Mimo to firma nie wycofuje się. O co chodzi i w jaki sposób dotyczy to przeciętnych użytkowników iPhone’ów i iPadów?

Czym jest CSAM Detection?

Swoje plany firma Apple przedstawiła na stronie internetowej. Opracowała ona system o nazwie CSAM Detection, który analizuje urządzenia użytkowników w poszukiwaniu „materiałów przedstawiających seksualne wykorzystywanie dzieci” (ang. Child Sexual Abuse Material, CSAM).

Chociaż termin „pornografia dziecięca” jest synonimem skrótu CSAM, organizacja National Center for Missing and Exploited Children, która pomaga w odnalezieniu i uratowaniu dzieci zaginionych i wykorzystywanych w Stanach Zjednoczonych, uważa, że bardziej odpowiednim terminem jest „CSAM”. Ponadto przesyła ona Apple i innym firmom technologicznym informacje na temat znanych obrazów CSAM.

Apple wprowadziło CSAM Detection wraz z kilkoma innymi funkcjami, które rozszerzają kontrolę rodzicielską na urządzeniach mobilnych Apple. Na przykład rodzice otrzymają powiadomienie, jeśli ktoś wyśle ich dziecku zdjęcie o charakterze jednoznacznie seksualnym w Wiadomościach Apple.

Jednoczesne wprowadzenie kilku technologii spowodowało pewne zamieszanie, a wiele osób odniosło wrażenie, że odtąd Apple będzie stale monitorować wszystkich użytkowników. To nieprawda.

Oś czasu wdrażania funkcji CSAM Detection

CSAM Detection będzie częścią mobilnych systemów operacyjnych iOS 15 i iPadOS 15, z których będą mogli skorzystać użytkownicy wszystkich aktualnych iPhone’ów i iPadów (iPhone 6S, iPad piątej generacji i nowszych) tej jesieni. Choć funkcja ta teoretycznie będzie dostępna na urządzeniach mobilnych Apple na całym świecie, na razie system będzie działał kompleksowo wyłącznie w Stanach Zjednoczonych.

Jak będzie działać CSAM Detection

CSAM Detection działa tylko w połączeniu z funkcją Zdjęcia iCloud, która jest częścią usługi iCloud odpowiedzialnej za przesyłanie zdjęć ze smartfona lub tabletu na serwery Apple. Udostępnia je ona również na innych urządzeniach użytkownika.

Jeśli użytkownik wyłączy synchronizację zdjęć w ustawieniach, CSAM Detection przestanie działać. Czy to oznacza, że zdjęcia są porównywane z tymi, które znajdują się w kryminalnych bazach danych — ale tylko w chmurze? Nie do końca. System celowo jest dość skomplikowany — Apple stara się zagwarantować niezbędny poziom prywatności.

Jak wyjaśnia Apple, funkcja CSAM Detection skanuje zdjęcia na urządzeniu w celu ustalenia, czy pasują one do zdjęć w bazach danych NCMEC lub innych podobnych organizacji.

Uproszczony schemat działania CSAM Detection. Źródło

Metoda wykrywania wykorzystuje technologię NeuralHash, która tworzy cyfrowe identyfikatory lub skróty dla zdjęć na podstawie ich zawartości. Jeśli skrót pasuje do jednego ze znajdujących się w bazie danych znanych zdjęć wykorzystujących dzieci, obraz i jego skrót są przesyłane na serwery Apple. Przed oficjalną rejestracją zdjęcia Apple przeprowadza kolejną kontrolę.

Inny składnik systemu, technologia kryptograficzna (zwana „przecięciem zestawu prywatnego”), szyfruje wyniki skanowania CSAM Detection, dzięki czemu Apple może je odszyfrować tylko wtedy, gdy spełniony jest szereg kryteriów. Teoretycznie powinno to zapobiegać niewłaściwemu wykorzystaniu systemu – np. nadużyciu systemu przez pracowników tej firmy — oraz pomagać w przekazaniu obrazów na żądanie agencji rządowych.

W wywiadzie z 13 sierpnia dla dziennika Wall Street Journal Craig Federighi, starszy wiceprezes Apple ds. inżynierii oprogramowania, wymienił główne zabezpieczenie protokołu przecięcia zestawu prywatnego: aby firma Apple otrzymała alert, do obrazów znajdujących się w bazie danych NCMEC musi pasować aż 30 zdjęć. Jak pokazuje poniższy diagram, system przecięć zestawu prywatnego nie umożliwi odszyfrowania zestawu danych — informacji o działaniu wykrywania CSAM i zdjęć — dopóki ten próg nie zostanie osiągnięty. Apple twierdzi, że skoro próg oznaczania obrazu jest tak wysoki, fałszywe dopasowanie jest bardzo mało prawdopodobne i wynosi „jedną szansę na bilion”.

Ważna cecha systemu CSAM Detection: aby odszyfrować dane, pasować musi duża liczba zdjęć. Źródło

Co się stanie, gdy system zostanie powiadomiony? Pracownik firmy Apple ręcznie sprawdza dane, potwierdza obecność pornografii dziecięcej i powiadamia władze. Na razie system będzie działał w pełni tylko w Stanach Zjednoczonych, więc powiadomienie trafi do organizacji NCMEC, która jest finansowana przez Departament Sprawiedliwości Stanów Zjednoczonych.

Problemy z funkcją CSAM Detection

Potencjalna krytyka działań Apple dzieli się na dwie kategorie: kwestionowanie podejścia firmy i analizowanie luk w zabezpieczeniach protokołu. Na tę chwilę niewiele jest konkretnych dowodów na to, że Apple popełnił błąd techniczny (tę kwestię omówimy bardziej szczegółowo poniżej), chociaż nie brakowało uwag ogólnych.

Kwestie te bardzo szczegółowo opisała na przykład organizacja Electronic Frontier Foundation. Według EFF, dodając skanowanie obrazu po stronie użytkownika, Apple zasadniczo umieszcza w urządzeniach użytkowników tylne drzwi. EFR krytykuje tę koncepcję już od 2019 roku.

Dlaczego jest to problem? Wyobraź sobie, że posiadasz urządzenie, na którym dane są całkowicie zaszyfrowane (jak twierdzi Apple) i które następnie zaczyna raportować osobom postronnym o tym, co znajduje się na Twoim gadżecie. W tej chwili celem jest pornografia dziecięca i można powiedzieć, że jeśli nie robisz nic złego, nie masz się czym martwić. Ale ponieważ taki mechanizm istnieje, nie mamy pewności, czy nie zostanie on zastosowany do innych treści.

Ostatecznie krytyka ta jest bardziej polityczna niż technologiczna. Problem polega na braku umowy społecznej, która równoważy kwestie bezpieczeństwa i prywatności. My wszyscy — od biurokratów, producentów urządzeń i programistów po działaczy na rzecz praw człowieka i użytkowników szeregowych – próbujemy teraz tę równowagę zdefiniować.

Organy ścigania uważają, że powszechne szyfrowanie komplikuje gromadzenie dowodów i łapanie przestępców, co jest zrozumiałe. Obawy dotyczące masowej inwigilacji cyfrowej również są oczywiste. Opinii, w tym opinii na temat polityki i działań Apple, jest kilkanaście.

Potencjalne problemy z implementacją CSAM Detection

Oprócz problemów natury etycznej istnieją jeszcze inne — technologiczne. Każdy kod programu to nowe luki w zabezpieczeniach. Pominąwszy kwestię tego, co mogą zrobić rządy, warto rozważyć, co się stanie, jeśli luki w zabezpieczeniach CSAM Detection wykorzysta cyberprzestępca. Jeśli chodzi o szyfrowanie danych, obawa jest naturalna i uzasadniona: jeśli osłabisz ochronę danych, nawet w dobrej wierze, każdy będzie mógł to wykorzystać do innych celów.

Niezależny audyt kodu CSAM Detection dopiero się rozpoczął i może zająć bardzo dużo czasu. Jednak co nieco już wiemy.

Po pierwsze: kod, który umożliwia porównywanie zdjęć z „modelem”, istnieje w systemie iOS (oraz macOS) od wersji 14.3. Całkiem możliwe, że będzie on częścią funkcji CSAM Detection. Narzędzia służące do eksperymentowania z algorytmem wyszukiwania dopasowanych obrazów już znalazły pewne rozbieżności. Na przykład zgodnie z algorytmem NeuralHash firmy Apple dwa poniższe obrazy mają ten sam skrót:

Zgodnie z algorytmem NeuralHash firmy Apple te dwa zdjęcia pasują do siebie. Źródło

Jeśli można wyciągnąć bazę skrótów nielegalnych zdjęć, można również tworzyć „niewinne” obrazy, które będą wyzwalały alert. Oznacza to, że firma Apple może otrzymać tak dużą liczbę fałszywych alertów, że funkcja CSAM Detection nie będzie działała poprawnie. Najprawdopodobniej dlatego Apple oddzieliło kwestię wykrywania i część algorytmu działała tylko po stronie serwera.

Istnieje również analiza protokołu przecięcia zestawu prywatnego Apple. Głównym problemem jest tu fakt, że nawet przed osiągnięciem progu alarmowego system PSI przesyła sporo informacji na serwery Apple. Artykuł opisuje scenariusz, w którym organy ścigania żądają danych od Apple, i sugeruje, że nawet fałszywe alarmy mogą prowadzić do wizyty policji.

Na razie są to jednak tylko wstępne testy zewnętrznej analizy funkcji CSAM Detection. Ich sukces będzie w dużej mierze zależał od tej słynnej firmy zapewniającej przejrzystość działania CSAM Detection — a w szczególności jej kodu źródłowego.

CSAM Detection z punktu widzenia przeciętnego użytkownika

Nowoczesne urządzenia są tak złożone, że nie jest łatwo określić, jak bezpieczne są naprawdę — czyli w jakim stopniu spełniają obietnice producenta. Większość z nas może tylko zaufać (lub nie ufać) firmie w oparciu o jej reputację.

Należy jednak pamiętać o tym kluczowym punkcie: CSAM Detection działa tylko wtedy, gdy użytkownicy przesyłają zdjęcia do serwisu iCloud. Decyzja Apple była celowa i przewidywała niektóre zastrzeżenia do tej technologii. Jeśli nie prześlesz zdjęć do chmury, nic nie zostanie nigdzie wysłane.

Być może pamiętasz głośny konflikt między Apple a FBI w 2016 roku, kiedy FBI poprosiło Apple o pomoc w odblokowaniu iPhone’a 5C, który należał do osoby, która zabiła wiele osób naraz w San Bernardino w Kalifornii. FBI chciało, aby firma Apple napisała oprogramowanie, które pozwoliłoby mu obejść ochronę telefonu hasłem.

Firma doszła do wniosku, że może to skutkować odblokowaniem nie tylko telefonu wspomnianej osoby, ale także należącego do kogokolwiek innego, i w efekcie odmówiła. FBI wycofało się z prośby i zhakowało urządzenie, korzystając z pomocy zewnętrznej, wykorzystując luki w oprogramowaniu, a Apple utrzymał swoją reputację firmy, która walczy o prawa swoich klientów.

Jednak ta historia nie jest taka prosta. Apple przekazało kopię danych z serwisu iCloud. W rzeczywistości firma ma dostęp do praktycznie wszystkich danych użytkownika przesłanych do chmury. Część z nich, np. hasła do pęku kluczy i informacje o płatnościach, są przechowywane przy użyciu szyfrowania pełnego, ale większość informacji jest szyfrowana tylko w celu ochrony przed dostępem niesankcjonowanym — to znaczy przed włamaniem na serwery firmy. Oznacza to, że firma może odszyfrować dane.

Wszystkie te okoliczności sprawiają, że być może będzie to najciekawszy zwrot akcji w historii CSAM Detection. Firma może na przykład zeskanować wszystkie obrazy w Zdjęciach iCloud (tak jak robią to Facebook, Google i wielu innych dostawców usług w chmurze). Apple stworzył bardziej elegancki mechanizm, który pomógłby mu odeprzeć oskarżenia o masową inwigilację użytkowników, ale zamiast tego przyciągnął jeszcze więcej krytyki — za skanowanie urządzeń użytkowników.

Ostatecznie dla przeciętnego użytkownika nie zmienia to prawie nic. Jeśli martwisz się o ochronę swoich danych, przyjrzyj się krytycznym okiem każdej usłudze w chmurze. Dane przechowywane tylko na urządzeniu są bezpieczne. Ostatnie działania Apple zasiały uzasadnione wątpliwości. To, czy firma będzie nadal kontynuowała tej wątek, pozostaje kwestią otwartą.

Porady