Apple i fuldt forsvarsmodus: Forklarer i detaljer, hvordan foto-scanning fungerer
Apples stærkt kritiserede tiltag, som skal forhindre, at børneporno bliver gemt på firmaets servere, har udviklet sig til en PR-mæssig møgsag.
Kritikken fra lang række privatlivs-organisationer og eksperter går på, at Apple, i sin iver for at komme børneporno til livs, risikerer at åbne en dør for regeringer, der er interesseret i at snage i, hvad iPhone-brugerne foretager sig.
Det har Apple tidligere afvist, kan lade sig gøre.
Alligevel har firmaet i weekenden følt sig nødsaget til at gå i fuldt forsvarsmodus — ikke mindst for at aflive almindelige brugeres bekymringer om, hvorvidt deres fotos fremover bliver scannet.
Apple har i løbet af weekenden udgivet en ny rapport, hvor de ganske detaljeret beskriver hele scannings-processen, som firmaet mener foregår privatlivsmæssiget forsvarligt. Samtidig har Apple sendt sit nok mest populære kort, Craig Federighi, i byen for at prøve at lægge en dæmper på situationen.
Federighi, hvis titel er Senior Vice President of Software Engineering, deltog i weekenden i et videointerview med Joanna Stern fra Wall Street Journal (som er ganske anbefalelsesværdigt).
Her prøvede Federighi først og fremmest at berolige folk, der fejlagtigt måtte have opfattet, at Apple kigger på deres billeder, direkte på deres telefon.
Mere interessant, så afklarede han på et par af de spørgsmål, som har blafret i vinden.
Federighi sagde blandt andet, at en bruger skal have uploadet omkring 30 billeder, der matcher den meget omtalte CSAM-database (Child Sexual Abuse Materials), førend at systemet gør Apples moderatorer opmærksomme på, at de skal kigge på en given sag. Hvorfor grænsen er sat der, vender vi tilbage til.
Desuden forklarede Apple-chefen, at scanningen af fotos direkte på brugerens device kun udgør den ene halvdel af scanningssystemet, og at den anden halvdel foregår på Apples servere.
Han understregede også igen og igen, at der kun er tale om billeder, der bliver gemt i iCloud, og ikke billeder der kun opbevares lokalt på telefonen.
Netop den delvist lokale scanning, er noget af det, der har fået mange op i det røde felt. Ganske simpelt fordi det føles som om, at Apple overtræder en linje, når de foretager en scanning direkte på folks telefoner, og potentielt sender information tilbage til sig selv.
Joanna Stern forholder Federighi kritikken, men Apple-chefen deler ikke denne betragtning.
- Dette er bogstaveligt talt en del af the pipeline, når billeder gemmes i iCloud, siger Federighi.
Med andre ord, selvom scanningen delvist foregår på brugeres telefon eller iPad, så sker det ene og alene som en del af overførslen af billeder til iCloud, argumenterer Apple-chefen.
Joanna Stern lader sig dog ikke spise af med den forklaring og spørger Federighi, hvem der i virkeligheden ejer en iPhone?
- Det mener jeg helt sikkert, vores kunder gør, svarer Federighi og fortsætter:
- Dette handler om billeder, som bliver gemt i skyen, og en arkitektur til identifikation (af ulovlige billeder) på den mest privatlivsbeskyttende måde, vi kan forestille os, siger Federighi, og kalder metoden både reviderbar og verificerbar.
Udover at lade Federighi forsvare firmaets tiltag i medierne, så udgav Apple altså også (endnu) en rapport. Her beskriver de ganske detaljeret hele processen, og alle de forholdsregler de har taget, som skal sikre brugerens privatliv, og at systemet ikke kan misbruges fx af regeringer.
Her er et par af de vigtigste punkter:
Omkring 30 ulovlige billeder, før Apple bliver adviseret
Som Federighi forklarer i interviewet, så skal en bruger uploade i omegnen af 30 billeder til iCloud, der matcher kendte børnepornobilleder fra CSAM-databasen, før systemet adviserer Apple.
Grunden til det relativt høje antal billeder skyldes, at Apple vil undgå falske positive — altså at hashen (den unikke kode, som lader Apple scanne efter børnoporno uden at "se" billederne) i et helt almindeligt billede brugeren har på sin telefon, fejlagtigt matcher et billede fra databasen.
Apple skriver, at de i deres test har matchet 100 millioner almindelige billeder op mod CSAM-databasen, hvor der fejlagtigt var tre billeder, hvis hash matchede.
Ved at sætte grænsen ved 30 billeder (ti gange så mange), vil der altså teoretisk være en ekstremt lille chance for, at en bruger har 30 billeder, der fejlagtigt matcher.
CSAM-billeder skal være i to forskellige databaser kontrolleret under to forskellige regeringer
Apple har heldigvis allerede taget en del af kritikken til sig.
De har nemlig ændret systemet, så det nu ikke længere er nok, at børnepornobillederne i den såkaldte CSAM-database (som Apple sammenligner med hashes fra brugernes fotoalbum) kun stammer fra én kilde.
Apple oplyser, at billederne nu skal være at finde i to forskellige børnebeskyttelse-organisationers databaser, og at de to databaser skal stamme fra to forskellige lande.
Konceptet er, at et land ikke bare kan tilføje billeder (fx terror-relaterede) til deres egen CSAM-database. For hvis billedet ikke samtidig findes i en database fra et andet land, så vil fotoet ikke blive inkluderet i databasen, der uploades til brugernes devices.
Databasens root hash er offentligt tilgængelig og kan verificeres mod databasen på det lokale på device
Apple oplyser, at databasen installeres som en del af styresystemet. Og da styresystemet er det samme alle steder i verden, vil der ikke kunne installeres en særlig CSAM-database til udvalgte brugere.
Apple vil i tillæg offentliggøre et såkaldt root hash af CSAM-databasen, som skal matche fuldstændig med det root hash, som brugeren kan se i Indstillingerne på sit device. Med andre ord, skal de to stemme overens.
Sikkerhedseksperter har mulighed for at verificere begge ovenstående foranstaltninger.
Sådan tjekker Apple billederne
Når et billede uploades til iCloud, foretages den første scanning som nævnt lokalt på telefon eller tablet.
Sammen med billedet uploades en såkaldt safety voucher.
Denne voucher, som indeholder oplysninger om eventuelle billeder, der matcher CSAM-databasen, kan ikke aflæses på telefonen, men kun fortolkes i iCloud, hvor den anden halvdel af processen foregår.
Kun hvis der i denne proces er mere end de cirka 30 billeder, der matcher, sendes en besked til Apple.
I iCloud vil systemet samtidig kunne dekryptere de safety vouchers, der matcher databasen. De vil ligeledes indeholde en lavopløsnings-udgave af de billeder, som matcher CSAM. Ingen andre billeder vil kunne ses.
Herefter vil et hold af moderatorer kigge på billederne og verificere, om der er tale om børnepornoindhold.
I så fald, vil de sende oplysningerne videre til den relevante instans. I USA kontaktes den organisation, der hedder NCMEC, der så kan involvere politiet.
Overstående er fortolket så godt som muligt fra Apples Security Threat Model Review of Apple’s Child Safety Features.
I rapportens 14 sider forklarer Apple også de principper, de har benyttet, for at sikre systemet mod andre usikkerheder og svagheder som privatlivsorganisationer har været bekymrede for kunne misbruges.
Vi er her på Techliv slet ikke tekniske nok til at kunne vurdere, om det, Apple gør, er (godt) nok rent sikkerhedsmæssigt.
Men som Apple-YouTuberen Rene Ritchie ganske rigtigt pointerer i en video om emnet, så ændrer det ikke ved, at det for mange brugere føles grænseoverskridende i privatlivsøjemed, at en del af systemet kører direkte på deres personlige device. Dog hjælper det jo i hvert fald på forståelsen, når man får mere indsigt i, hvorfor og hvordan systemet fungerer.
Professor Matthew Green, der oprindeligt fik bolden til at rulle, allerede dagen inde Apple officielt havde lanceret det nye tiltag, har skrevet denne Twitter-tråd, hvor han kigger nærmere på Apples nye rapport og de ændringer, de nu allerede har foretaget.
Han mener langt fra at alle problemer er løst, men applauderer dog Apple for at lytte til kritikken:
- Jeg er glad for, at Apple har været så åbne og positive over for det tekniske community. Jeg ville ønske, at de havde været det, før de lancerede deres upopulære service, ikke efter, skriver Green.
Kryptografi-professoren linker i øvrigt til denne overskift hos Gizmodo, som han mener opsummerer hele miseren på bedste vis: Apple Will Keep Clarifying This CSAM Mess Until Morale Improves.
Federighi: Vi kommer ikke til at trække den nye feature tilbage
Tilbage til interviewet med Craig Federighi, så var der ingen tvivl om, at han netop var sendt i byen for at prøve at gyde olie på de oprørte vande, hvilket han da heller ikke lægger skjul på.
Måske var det endda en slet skjult røffel til Apples PR-afdeling, når han sagde, at han ønskede at tiltaget var blevet kommunikeret “lidt mere klart”.
Samtidig sætter han en fed streg under, at Apple ikke har tænkt sig at trække den nye feature tilbage.
- Vi føler meget positivt og stærkt for, hvad vi laver, sagde Federighi med henvisning til den nye teknologi, som han ligefrem kalder “et fremskridt indenfor state of the art i privacy, som muliggør en mere privat verden”.
Det kan man jo så tolke, som man vil.
LINKS TIL LÆSEHESTE
Endelig: Facebook Messenger klar med end-to-end kryptering af video- og audio-samtaler
Nyt design gav brugerne hovedpine: Twitter klar med ændringer
Reddit implementerer (også) TikTok-agtig video-stream
Sonos tager første stik mod Google i sag om ulovlig brug af patenter
Har Decentralised Finance en særlig udfordring med hacking?