Одной из самых громких новостей текущей недели стало известие о том, что корпорация Apple планирует развернуть новую систему слежки за пользователями на своих устройствах. И всё ради детей. Попробуем разобраться, чего нам ждать от новой системы.
Всё началось с твита профессора Университета Джонса Хопкинса Мэтью Грина. В нём Грин сообщил, что Apple собирается развернуть систему слежки за устройствами пользователей с целью поиска изображений с признаками сексуального насилия над детьми. Эксперт назвал это «очень плохой идеей», высказав мысль, что всё эволюционирует в «систему наблюдения за зашифрованными сообщениями».
Грин предположил, что Apple будет использовать хеши изображений. Это сбережёт конфиденциальность пользователей, но не от ложных срабатываний и намеренных злоупотреблений. В целом, это были не более чем догадки, поскольку Apple собирается использовать новый закрытый инструмент.
Затем Apple сделала официальный анонс, в котором почти полностью подтвердила информацию Мэтью Грина. Корпорация собирается проверять все сообщения Messages, полученные и отправленные детьми, на предмет наготы. Также Apple обновит Siri и Search, чтобы «предоставить родителям и детям расширенную информацию и помощь, если они столкнутся с небезопасными ситуациями». Siri и Search будут «вмешиваться, когда пользователи выполняют поиск по запросам, связанным с CSAM (child sexual abuse materials — англ. материалы, содержащие признаки сексуального насилия над детьми)» и «объяснят пользователям, что интерес к этой теме вреден и проблематичен, а также предоставят ссылки на ресурсы партнеров для получения помощи в решении этой проблемы».
Проверяться будут и изображения в iCloud Photos. Если Apple обнаружит противоправный по её мнению контент, она может отправить информацию в правоохранительные органы.
Из анонса, сделанного корпорацией, стало ясно, что использоваться будут не хеши, а инструмент на основе нейронной сети. Слежка заработает в iOS 15, iPadOS 15, watchOS 8 и macOS Monterey.
Если какое-либо изображение покажется Apple слишком откровенным, устройство размоет фотографию и предупредит ребёнка. Система может уведомить родителей ребенка, если тот всё же решит просмотреть полученное изображение или попытается отправить кому-то откровенные фото.
Мэтью Грин отмечает, что это «невероятно мощная демонстрация технологии». Главную опасность он видит в том, что даже защищённые сквозным шифрованием фотографии можно подвергать сложному сканированию. Эксперт задаётся вопросом, кто и в каких целях захочет использовать данный инструмент? А глава Center for Democracy & Technology’s Security & Surveillance Project Грег Ноджим высказался ещё резче: «Apple подменяет стандартную для отрасли систему E2E-шифрования для обмена сообщениями инфраструктурой для наблюдения и цензуры, которая будет уязвима для злоупотреблений и расширений не только в США, но и во всем мире. Apple следует отказаться от этих изменений и восстановить веру пользователей в безопасность и целостность данных на устройствах и в сервисах Apple».
Вот ещё одно схожее мнение: «Apple планирует встроить бэкдор в свою систему хранения данных и систему обмена сообщениями» — пишут специалисты «Фонда электронных рубежей» (Electronic Frontier Foundation, EFF). По их мнению, «благие намерения по созданию такой системы нарушат ключевые принципы шифрования мессенджера и открывают двери для более широких злоупотреблений».
Технические моменты
Apple дала технологии имя NeuralHash. Она анализирует изображения и даёт им уникальные номера. Почти идентичные изображения будут получать одинаковые номера. Например, если изображения отличаются по качеству перекодирования или размеру, это не помешает им получить один и тот же номер NeuralHash, если они содержат одно и то же.
Прежде чем устройство от Apple загрузит изображение в iCloud, «устройство создаст специальный ваучер криптографической безопасности, где будут закодированы результаты совпадения. Также будут зашифрованы NeuralHash изображения и его визуальная производная. Этот ваучер будет загружен в iCloud Photos вместе с изображением».
Если верить документации, содержимое ваучера не может быть интерпретировано Apple, если только учётная запись iCloud Photos не превысила пороговое значение по известному содержимому CSAM.
Apple заверяет, что она может гарантировать менее одной ошибки на один триллион проверок в год для каждой учётной записи. Корпорация якобы «вручную проверяет все отчёты, отправленные в NCMEC (National Center for Missing & Exploited Children — англ. Национальный центр пропавших без вести и эксплуатируемых детей), чтобы гарантировать точность». Поскольку ошибки возможны, у пользователей остаётся возможность «подать апелляцию на восстановление своей учётной записи».
Устройства от Apple начнут хранить «слепую базу данных», которая позволит устройствам решать, совпадает ли фотография с изображением в базе CSAM.
Корпорация будет получать результаты таких проверок, совершённых устройствами, но они не могут быть прочитаны сами по себе. Apple применяет криптографический принцип, называемый пороговым разделением секрета, который позволяет расшифровать содержимое лишь в том случае, если пользователь превысил пороговое значение известных CSAM-изображений.
Apple не говорит, о каких пороговых значениях идет речь. Но, к примеру, что если секрет разделен на тысячу частей, а порог составляет десять CSAM-изображений, секрет может быть восстановлен из любого из этих десяти изображений.
После этого у Apple появляется возможность расшифровать совпадающие изображения, проверить их содержимое, заблокировать учётную запись пользователя и предоставить изображения в NCMEC, откуда информацию передадут правоохранительным органам. Так будет выстроена работа в США. Как будет действовать Apple в других странах — покажет время.
Статьи по теме: