Skip to main content

Apple наконец-то признала ошибку сканирования CSAM |  Рекламный щит Apple о конфиденциальности

Спустя почти девять месяцев после того, как Apple подтвердила, что отказалась от планов по сканированию CSAM, компания наконец признала недостаток, на который в то время указывали многие из нас.

Компания объяснила причину, по которой она решила не сканировать устройства на предмет материалов о сексуальном насилии над детьми (CSAM), в заявлении Wired…

Краткая история беспорядка со сканированием CSAM от Apple

Впервые мы узнали о планах Apple по сканированию CSAM, когда они стали известны незадолго до того, как компания объявила о них в августе 2021 года. Эксперт по криптографии и безопасности Мэтью Грин написал в Твиттере планысказав, что это плохая идея.

Я получил независимое подтверждение от нескольких человек о том, что завтра Apple выпустит клиентский инструмент для сканирования CSAM. Это действительно плохая идея.

Утечка, которая не включала подробную информацию о защите Apple от ложных срабатываний, означала, что перед объявлением были высказаны четыре опасения.

Эксперты по безопасности продолжали выражать обеспокоенность даже после этого объявления, как и многие сотрудники Apple. Apple ответила как официально, так и неофициально, прежде чем объявить, что планы по внедрению этой функции были приостановлены.

Затем в течение очень долгого времени дела шли очень тихо, и прошло больше года, прежде чем компания наконец заявила, что отказалась от своих планов.

Самый большой недостаток сканирования CSAM

Apple решила некоторые из поднятых проблем, но не самую большую проблему из всех: возможность злоупотребления этой функцией авторитарными правительствами.

Как мы тогда отмечали, цифровой отпечаток может быть создан для любого типа материала, а не только для CSAM. Ничто не может помешать авторитарному правительству добавить в базу данных изображения плакатов политической кампании или чего-то подобного.

Инструмент, предназначенный для борьбы с серьезными преступниками, можно легко адаптировать для выявления тех, кто выступает против правительства или одной или нескольких его политик. Apple, которая получит базу данных отпечатков пальцев от правительств, окажется невольно помогающей репрессиям или, что ещё хуже, политическим активистам.

Apple заявила, что никогда бы не допустила этого, но обещание было основано на том, что у Apple была юридическая свобода отказаться, чего на самом деле не было. В Китае, например, Apple по закону обязана удалить VPN, новостные и другие приложения, а также хранить данные iCloud китайских граждан на сервере, принадлежащем компании, контролируемой правительством.

У Apple не было реалистичного способа пообещать, что она не будет соблюдать будущие требования по обработке предоставленных правительством баз данных «изображений CSAM», которые также включают совпадения с материалами, используемыми критиками и протестующими. Как компания часто заявляла, защищая свои действия в таких странах, как Китай, Apple соблюдает законы каждой из стран, в которых она осуществляет свою деятельность.

Apple теперь признала эту проблему

В заявлении Wired Apple теперь признает это.

Эрик Нойеншвандер, директор Apple по конфиденциальности пользователей и безопасности детей, написал: […]

«Это было бы […] создать потенциальную возможность возникновения непредвиденных последствий. Например, сканирование одного типа контента открывает возможности для массового наблюдения и может вызвать желание искать другие системы зашифрованных сообщений по типам контента».

Мнение

Ранее мы утверждали, что вся эта неразбериха была полностью предсказуема, и что если бы Apple вообще хотела это сделать, ей следовало бы применить другой подход.

По иронии судьбы, лучшим вариантом для Apple было бы сделать что-то менее прозрачное и менее конфиденциальное, но и менее противоречивое. То есть сканировать фотографии в iCloud по хэшам CSAM. И просто отметьте это в политике конфиденциальности iCloud (принимая во внимание, что все облачные сервисы так делают).

Это было бы менее спорно, потому что все остальные так делают, и потому что эксперты по безопасности уже знали, что iCloud не является конфиденциальным: тот факт, что Apple не использует сквозное шифрование, означает, что мы уже знали, что у него есть ключ, и мы уже знала, что сотрудничает с правоохранительными органами, передавая данные iCloud по постановлению суда.

Если бы он начал это делать, я думаю, большинство экспертов по безопасности просто пожали бы плечами – здесь нет ничего нового – и это не привлекло бы внимание основных средств массовой информации.

Мы признали, что это, возможно, не сработало бы в долгосрочной перспективе, но это дало бы возможность лучше объяснить планы по другому подходу. Но, по крайней мере, компания наконец признала то, что многие из нас говорили все это время.