蘋果新功能會影響你的隱私嗎?

蘋果新功能會影響你的隱私嗎?

2021年8月初,蘋果有一個新系統面世,能識別出包含虐童影像的照片。如果說這是為了打擊兒童色情製品的傳播,那麼蘋果的動機似乎肯定是出於善意的,然而這一新系統的發佈立刻引來了廣泛的反對聲音。

長久以來,蘋果一直將自己標榜成一個關心使用者隱私的設備製造商。在 iOS 15 和 iPadOS 15 預期的新功能對隱私聲譽造成了嚴重影響之後,蘋果公司依然沒有退縮。下面就告訴您這些來龍去脈,告訴您 iPhone 和 iPad 的普通用戶會因此受到哪些影響。

 

  CSAM 檢測是什麼?

蘋果公司在其官網上概述了自己的計畫。他們開發了一個名叫 CSAM 的檢測的系統,這一系統會在使用者設備中搜索“兒童性虐待材料”,英文簡稱是 CSAM。

儘管 CSAM 可以被稱為“兒童色情製品”,然而美國國家失蹤和被剝削兒童中心 (NCMEC)認為“CSAM”這一術語較之更加實用。NCMEC 是美國的一家對失蹤和被剝削兒童進行尋找和營救的機構,他們會將已知的兒童性虐待圖像的相關資訊,提供給蘋果和其他科技公司。

蘋果公司引入了 CSAM 檢測以及一些其他的功能,可以作為蘋果移動設備上家長控制功能的擴展。例如,如果有人通過 Apple Message 向孩子發送了色情照片,孩子的父母就會收到通知。

這幾種技術的同時發佈引起了一些混亂,很多人認為這是蘋果對所有使用者進行長期監視的開始。而事實並非如此。

 

  CSAM 檢測功能上線時間

CSAM 檢測將成為 iOS 15 和 iPadOS 15 移動作業系統的一部分,作業系統將於今年秋天推送給現有的所有 iPhone 和 iPad(包括iPhone 6S,第五代 iPad 以及之後的設備)的使用者。雖然這一功能理論上可以在全世界的 Apple 移動設備上使用,但是目前這一系統只能在美國完全運行。

 

  CSAM 檢測將如何運行

CSAM 檢測只會同 iCloud Photos 一起工作,iCloud photos 是 iCloud 服務的一部分,能將照片從智慧手機或平板電腦上傳到蘋果公司的伺服器,還能讓使用者在自己的其他設備上訪問這些內容。

如果用戶在設置中禁用照片同步,CSAM 檢測就會停止工作。這是不是說該系統只會將照片和雲端犯罪資料庫中的照片進行比較?不完全是。該系統故意做得很複雜,因為蘋果正在盡力保證必要的隱私水準。

正如蘋果公司解釋的那樣,CSAM 檢測通過掃描設備上的照片,來確定它們是否與“美國國家失蹤和被剝削兒童中心”或其他類似組織的資料庫中的照片匹配。

圖片來源 SourceCSAM 檢測工作原理的概述圖

 

檢測方法採用了 NeuralHash 技術,它實質上是根據照片的內容,為照片創建數位識別碼符或散列(雜湊)。如果其散列與已知的“虐童圖像資料庫”中的散列匹配,該圖像及其散列就會被上傳到蘋果的伺服器。在正式認定之前,蘋果還會再對該圖像檢查一遍。

系統的另一個組成部分,是一種叫做“PSI”的加密技術,通過對 CSAM 檢測掃描的結果進行加密,只有在滿足一系列條件的情況下,蘋果公司才能對其進行解密。從理論上講,這樣可以防止系統被濫用,也就是說,可以防止蘋果公司員工濫用系統,或應政府機構的要求移交使用者的圖片。

8月13日,蘋果軟體工程高級副總裁克雷格·費德里吉(Craig Federighi)在接受《華爾街日報》採訪時,闡明了“PSI 系統”協定的主要保障措施。在發出警報之前,照片需要同30張“美國國家失蹤和被剝削兒童中心”資料庫中的圖像進行對照。如下圖所示,在達到該閾值之前,PSI 系統不會允許對資料集(有關 CSAM 檢測和照片的操作的資訊)進行解密。根據蘋果公司的說法,由於標記圖像的閾值非常高,因此錯誤匹配的可能性很小,只有“萬億分之一”。

圖片來源 CSAM 檢測系統的一個重要特點——通過大量的照片進行對照,判斷是否要解密資料。

 

當系統收到警報時會發生什麼?蘋果員工會手動對資料進行檢查,確認是否存在兒童色情內容,並報告有關當局。目前,該系統只能在美國完全運行,因此通知將發送給由美國司法部贊助的美國國家失蹤和被剝削兒童中心

 

  CSAM 檢測存在的問題

對蘋果公司這種舉措的潛在批評分為兩類:質疑公司的做法,質疑審查協議存在漏洞。目前,雖然普通投訴層出不窮,卻幾乎沒有具體證據表明蘋果犯了技術上的錯誤(我們將在下面更詳細地討論這個問題)。

例如,電子前沿基金會對這些問題做了詳細的闡述。根據電子前沿基金會的說法,蘋果公司通過在使用者端添加圖像掃描的行為,其實是在使用者的設備中嵌入了後門。早在2019年,電子前沿基金會就對這個概念提出了批評。

為什麼說這樣做不好呢?您看,假如您有一個設備,如蘋果公司所說,該設備上的資料被完全加密,然後設備開始向外界發送其中的內容。現在他們的目標是兒童色情,這樣就會引起一種常見的心理,“不做虧心事,不怕鬼敲門”。但只要這樣的機制存在,我們就無法得知它是否會被用於檢測其他內容。

 

歸根結底,這屬於政治上的批評,而不是技術上的批評。問題在於缺乏一種能將安全和隱私加以平衡的社會契約。從官僚、設備製造商和軟體發展人員到人權活動家和普通用戶,我們所有人現在都在努力定義這種平衡。

執法機構抱怨說,廣泛的加密會讓收集證據和抓捕罪犯變得複雜,我們可以理解這一點。對大規模數位監視的擔憂也很明顯。抱怨聲不斷,包括對蘋果政策和行動的抱怨。

 

  實現 CSAM 檢測的潛在問題

一旦考慮到道德因素,我們的科技之路就會變得非常坎坷。任何程式碼都會產生新的漏洞。別管政府會怎麼做,如果網路犯罪分子利用了 CSAM 檢測的漏洞怎麼辦?在談到資料加密的時候,這種擔憂是自然而然的,而且確實存在。即便是出於善意,假如我們削弱了資訊保護,那麼任何人都可以利用這一弱點去實現其他目的。

 

對 CSAM 檢測代碼的獨立審查才剛剛開始,可能還會需要很長時間。然而,我們已經發現了一些問題。

首先,自14.3版以來,iOS 和 macOS 中就已經存在可以將照片與“模型”進行比較的代碼。這些代碼完全有可能是 CSAM 檢測的一部分。在實驗用於匹配圖像的搜索演算法的實用工具中,已經發現了一些衝突。例如,根據蘋果的 NeuralHash 演算法,下面的兩個圖像具有相同的散列:

圖片來源:根據蘋果的 NeuralHash 演算法,這兩個圖像可以對應一致。

 

如果和資料庫中非法照片的散列對應一致就會報警,那麼一些“無辜”的圖像也會觸發警報,這表示蘋果公司可能會收到大量的誤報,造成 CSAM 檢測不可持續。這很可能是蘋果公司將檢測分離開來的原因,其中一部分演算法只會在伺服器端起作用。

還有就是對蘋果 PSI 協議的這種分析。從本質上講,問題在於即使在達到警報閾值之前,PSI 系統還是會把相當大量的資訊傳輸到蘋果的伺服器。這篇文章描述了一種情形,在這種情況下,執法機構向蘋果請求資料,這表示即使是警報誤報也可能導致警方的來訪。

目前,以上只是對 CSAM 檢測的外部審查的初步測試。是否能成功,在很大程度上取決於蘋果這個在保護用戶隱私上十分出名的公司,能為 CSAM 檢測的工作提供多少透明度,尤其是對於其原始程式碼的透明。

 

  CSAM 檢測對普通用戶意味著什麼

 

現代設備是如此複雜,以至於很難做到徹底保證其安全性。也就是說,安全與否在很大程度上取決於製造商的承諾。我們大多數人能做的不過是基於該公司的聲譽,選擇信任或不信任。

但是,重要的是要記住這一點:只有當用戶將照片上傳到 iCloud 時,CSAM 檢測才會起作用。蘋果的決定是經過深思熟慮的,並預料到了一些針對這項技術的反對意見。如果您不將照片上傳到雲中,設備就不會發送任何內容。

 

您可能還記得2016年,蘋果和聯邦調查局的那次衝突醜聞,當時聯邦調查局請求蘋果幫助解鎖加州聖貝納迪諾一名大型槍擊事件槍手的 iphone5c。聯邦調查局想讓蘋果寫一個軟體出來,讓聯邦調查局繞過手機的密碼保護。

蘋果公司發現,如果照做的話,不僅槍手的手機會被解鎖,還有可能導致手機都被解鎖,因此他們拒絕了。聯邦調查局空手而歸,最終通過外部説明,利用軟體漏洞入侵了槍手的設備,而蘋果保住了自己的聲譽,依然是一家為客戶權利而戰的公司。

 

然而,這個故事並沒有那麼簡單。蘋果確實從iCloud 交出了一份數據副本。實際上,蘋果公司幾乎可以訪問上傳到雲的任何使用者資料。有些資訊(例如鑰匙串密碼和付款資訊)是使用端到端加密存儲的,但是大多數資訊加密僅僅用於保護免受未經批准的訪問(即避免被駭客針對企業伺服器的攻擊波及)。這表示蘋果公司是可以解密資料的。

這一含義,可能是 CSAM 檢測故事中最有意思的情節轉折。例如,蘋果公司可以隨便掃描iCloud 照片中的所有圖像。蘋果創造了一種更優雅的機制,以避開使用者關於監視隱私的大量批評。結果反而招致了更多的批評,因為他們會掃描使用者的設備。

 

最終,普通用戶再多的抱怨也幾乎不會引起任何改變。如果您擔心自己的資料保護問題,您應該對任何雲服務都保持慎重。只保存在設備上的資料一定是安全的。蘋果最近的舉動令人懷疑,他們是否會繼續這樣做,依然是一個懸而未決的問題。

 

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: