По словам главного операционного директора компании по безопасности Corellium, правительственные злоупотребления системой обнаружения Apple CSAM iCloud в США, такие как распространение на террористические темы и аналогичные вопросы, предотвращаются Четвертой поправкой.
В понедельник в Твиттере главный операционный директор Corellium и специалист по безопасности Мэтт Тейт подробно рассказали, почему правительство не могло просто изменить базу данных, поддерживаемую Национальным центром пропавших без вести и эксплуатируемых детей (NCMEC), чтобы найти изображения, не относящиеся к CSAM, в облачном хранилище Apple. Во-первых, Тейт отметил, что NCMEC не является частью правительства. Вместо этого это частная некоммерческая организация с особыми юридическими привилегиями получать советы CSAM.
Из-за этого такие органы, как Министерство юстиции, не могут прямо приказать NCMEC сделать что-то, выходящее за рамки его компетенции. Он мог бы заставить их обратиться в суд, но NCMEC не входит в его подчинение. Даже если Министерство юстиции «вежливо спросит», у NCMEC есть несколько причин сказать «нет».
Однако Тейт использует особый сценарий, когда Министерство юстиции заставляет NCMEC добавить хэш секретного документа в свою базу данных.
В этом сценарии, возможно, у кого-то есть эта фотография на своем телефоне и он загрузил ее в iCloud, чтобы она была отсканирована и вызвала хит. Во-первых, в протоколе Apple этого единственного обращения недостаточно, чтобы определить, что у человека есть документ, до тех пор, пока не будет достигнут предварительно настроенный порог.
— Pwn All The Things (@pwnallthethings) 9 августа 2021 г.
Тейт также указывает, что одного образа не-CSAM будет недостаточно для проверки связи с системой. Даже если эти барьеры каким-то образом будут преодолены, вполне вероятно, что Apple откажется от базы данных NCMEC, если узнает, что организация работает нечестно. У технологических компаний есть законное обязательство сообщать CSAM, но не сканировать его.
Итак, благодаря запросу Министерства юстиции и ответу NCMEC «да», Apple полностью отказалась от сканирования CSAM, и ни NCMEC, ни Министерство юстиции фактически не получили успеха. Более того, NCMEC теперь разорен: никто из технических специалистов не будет использовать их базу данных.
Короче говоря, Министерство юстиции не может вежливо спросить NCMEC и ответить утвердительно.
— Pwn All The Things (@pwnallthethings) 9 августа 2021 г.
Может ли правительство заставить NCMEC добавлять хеш для изображений, не относящихся к CSAM, также является непростым вопросом. По словам Тейта, Четвертая поправка, вероятно, запрещает это.
NCMEC на самом деле не является следственным органом, и между ним и государственными органами существуют блоки. Когда он получает подсказку, он передает информацию правоохранительным органам. Чтобы привлечь к ответственности известного преступника CSAM, правоохранительные органы должны собрать свои собственные доказательства, как правило, на основании ордера.
Хотя суды решили этот вопрос, исходное сканирование CSAM, выполненное технологической компанией, вероятно, соответствует Четвертой поправке, поскольку компании делают это добровольно. Если это недобровольный обыск, то это «замещенный обыск» и в нарушение Четвертой поправки, если ордер не предоставлен.
Чтобы заговор сработал, необходимо, чтобы Apple, NCMEC и Министерство юстиции работали вместе, чтобы осуществить его * добровольно * и никогда не просочиться. Если это ваша модель угроз, хорошо, но это огромный заговор с огромным риском для всех участников, двое из которых существуют экзистенциально.
— Pwn All The Things (@pwnallthethings) 10 августа 2021 г.
Механизм обнаружения CSAM от Apple вызвал ажиотаж с момента его анонса, вызвав критику со стороны экспертов по безопасности и конфиденциальности. Однако технический гигант из Купертино утверждает, что он не позволит использовать систему для сканирования чего-либо, кроме CSAM.