Begin augustus 2021 onthulde Apple zijn nieuwe systeem voor het identificeren van foto’s die beelden van kindermisbruik bevatten. Hoewel de motieven van Apple — het tegengaan van de verspreiding van kinderporno — ontegenzeggelijk goedbedoeld lijken, kwam deze aankondiging onmiddellijk onder vuur te liggen.
Apple heeft lange tijd het imago gecultiveerd van een fabrikant van apparaten die zich bekommert om de privacy van de gebruiker. De nieuwe functies die voor iOS 15 en iPadOS 15 worden verwacht, hebben die reputatie al een flinke deuk toegebracht, maar het bedrijf houdt voet bij stuk. Dit is wat er is gebeurd en wat de gevolgen zullen zijn voor gemiddelde gebruikers van iPhones en iPads.
Wat is CSAM Detection?
De plannen van Apple staan beschreven op de website van het bedrijf. Het bedrijf heeft een systeem ontwikkeld, CSAM Detection genaamd, dat de apparaten van gebruikers doorzoekt op “materiaal van seksueel misbruik van kinderen”, ook wel bekend als CSAM (child sexual abuse material).
Hoewel “kinderpornografie” synoniem is met CSAM, beschouwt het National Center for Missing and Exploited Children (NCMEC), dat helpt bij het opsporen en redden van vermiste en misbruikte kinderen in de Verenigde Staten, CSAM als de correcte term. NCMEC verstrekt Apple en andere tech-bedrijven met informatie over bekende CSAM-afbeeldingen.
Apple introduceerde CSAM Detection samen met verschillende andere functies die het ouderlijk toezicht op mobiele apparaten van Apple uitbreiden. Ouders krijgen bijvoorbeeld een melding als iemand hun kind een seksueel getinte foto stuurt via Apple Messages.
De gelijktijdige onthulling van verschillende technologieën leidde tot enige verwarring, en veel mensen kregen het gevoel dat Apple nu alle gebruikers constant in de gaten zou gaan houden. Maar dat is niet het geval.
Tijdlijn van de uitrol van CSAM Detection
CSAM Detection zal deel uitmaken van de mobiele besturingssystemen iOS 15 en iPadOS 15, die dit najaar beschikbaar zullen worden voor gebruikers van alle huidige iPhones en iPads (iPhone 6S, iPad van de vijfde generatie en nieuwer). Hoewel de functie theoretisch overal ter wereld beschikbaar zal zijn op mobiele apparaten van Apple, zal het systeem voorlopig alleen in de Verenigde Staten volledig werken.
Hoe CSAM Detection gaat werken
CSAM Detection werkt alleen in combinatie met iCloud-foto’s, het onderdeel van de iCloud-dienst waarmee foto’s van een smartphone of tablet worden geüpload naar de servers van Apple. En het maakt deze ook toegankelijk op de andere apparaten van de gebruiker.
Als een gebruiker het synchroniseren van foto’s in de instellingen uitschakelt, werkt CSAM Detection niet meer. Betekent dit dat foto’s alleen in de cloud worden vergeleken met foto’s in criminele databases? Het zit net even anders. Het systeem is opzettelijk ingewikkeld; Apple probeert een noodzakelijk niveau van privacy te garanderen.
Zoals Apple uitlegt, werkt CSAM Detection door foto’s op een apparaat te scannen om te bepalen of ze overeenkomen met foto’s in de databases van het NCMEC of andere vergelijkbare organisaties.
De opsporingsmethode maakt gebruik van NeuralHash-technologie, die in wezen digitale identificatiecodes, of hashes, voor foto’s creëert op basis van hun inhoud. Als een hash overeenkomt met een hash in de database van bekende kinderpornobeelden, worden de afbeelding en de hash naar de servers van Apple geüpload. Apple voert hier nog een check uit voordat de afbeelding officieel wordt geregistreerd.
Een ander onderdeel van het systeem, cryptografische technologie met de naam private set intersection, versleutelt de resultaten van de CSAM Detection-scan zodanig dat Apple ze alleen kan decoderen als er aan een aantal criteria wordt voldaan. In theorie zou dit moeten voorkomen dat het systeem wordt misbruikt. Dat wil zeggen dat een werknemer van een bedrijf het systeem niet zou kunnen misbruiken of beelden zou kunnen overhandigen op verzoek van overheidsinstanties.
In een interview met de Wall Street Journal van 13 augustus besprak Craig Federighi, Apple’s senior vice-president software engineering de belangrijkste bescherming voor het private set intersectie-protocol: Om Apple te waarschuwen, moeten er 30 foto’s overeenkomen met beelden in de NCMEC-database. Zoals uit het onderstaande schema blijkt, zal het systeem voor het onderscheppen van privé-sets niet toestaan dat de dataset — informatie over de werking van CSAM Detection en de foto’s — wordt ontcijferd zolang dat minimumaantal niet is bereikt. Omdat de drempel voor het markeren van een afbeelding zo hoog ligt, is een valse overeenkomst volgens Apple zeer onwaarschijnlijk: een “kans van één op een triljoen”.
Wat gebeurt er als het systeem wordt gewaarschuwd? Een Apple-medewerker controleert de gegevens handmatig, bevestigt de aanwezigheid van kinderpornografie en stelt de autoriteiten hiervan op de hoogte. Voorlopig zal het systeem alleen volledig werken in de Verenigde Staten, zodat deze meldingen naar het NCMEC zullen gaan, dat wordt gesponsord door het Amerikaanse ministerie van Justitie.
Problemen met CSAM Detection
De potentiële kritiek op de maatregelen van Apple is op te delen in twee categorieën: het in twijfel trekken van de aanpak van het bedrijf en het kritisch bekijken van de kwetsbaarheden van het protocol. Op dit moment is er weinig concreet bewijs dat Apple een technische fout heeft gemaakt (een kwestie die we hieronder in meer detail zullen bespreken), hoewel er geen gebrek is aan algemene klachten.
Zo heeft de Electronic Frontier Foundation deze problemen bijvoorbeeld tot in detail beschreven. Volgens de EFF zou Apple, door het scannen van afbeeldingen aan de gebruikerskant toe te voegen, in feite een achterdeur in de apparaten van gebruikers inbouwen. De EFF uit al sinds 2019 kritiek op dit concept.
Waarom is dit een probleem? Stelt u zich eens voor dat een apparaat waarop de gegevens volledig versleuteld zijn (zoals Apple beweert), vervolgens de inhoud erop aan buitenstaanders begint te rapporteren. Momenteel is kinderporno het doelwit, wat natuurlijk leidt tot het veelgehoorde: “Als je niets verkeerds doet, hoef je je nergens zorgen over te maken”, maar zolang er een dergelijk mechanisme bestaat, kunnen we niet weten of het niet ook op andere inhoud zal worden toegepast.
Uiteindelijk is deze kritiek eerder politiek dan technologisch te noemen. Het probleem ligt in het ontbreken van een sociaal contract dat de kwesties van veiligheid en privacy in evenwicht brengt. Wij allemaal, van bureaucraten, fabrikanten van apparatuur en softwareontwikkelaars tot mensenrechtenactivisten en gewone gebruikers, proberen nu dat evenwicht te vinden.
Wetshandhavingsinstanties klagen dat wijdverspreide encryptie het verzamelen van bewijsmateriaal en het vangen van criminelen bemoeilijkt, en dat is begrijpelijk. De zorgen over massale digitale surveillance zijn natuurlijk ook logisch. Meningen, ook over het beleid en de acties van Apple, zijn er meer dan genoeg.
Potentiële problemen van het implementeren van CSAM Detection
Als we even verder kijken dan de ethische bezwaren, zien we dat er ook wat technologische obstakels zijn. Elke programmacode produceert weer nieuwe kwetsbaarheden. Wat als een cybercrimineel misbruik maakt van de zwakke plekken van CSAM Detection? Als het om data-encryptie gaat, is deze bezorgdheid natuurlijk en terecht: Als je de bescherming van informatie verzwakt, ook al is dat alleen maar met goede bedoelingen, dan kan iedereen de zwakte voor andere doeleinden benutten.
er is onlangs een onafhankelijke audit van de CSAM Detection-code gestart, en die kan wel even duren. Maar we hebben echter al een aantal dingen geleerd.
Ten eerste bestaat de code die het mogelijk maakt om foto’s te vergelijken met een “model” al sinds versie 14.3 in iOS (en macOS). Het is heel goed mogelijk dat deze code deel zal uitmaken van CSAM Detection. Utilities voor het experimenteren met een zoekalgoritme voor overeenkomende beelden hebben al enkele collisions gevonden. Volgens Apple’s NeuralHash-algoritme hebben de twee afbeeldingen hieronder bijvoorbeeld dezelfde hash:
Als het mogelijk is om de database met hashes van illegale foto’s tevoorschijn te halen, dan is het mogelijk om “onschuldige” foto’s te maken die een waarschuwing veroorzaken, wat betekent dat Apple genoeg valse waarschuwingen zou kunnen krijgen om de implementatie van CSAM Detection onhoudbaar te maken. Dat is waarschijnlijk de reden waarom Apple de detectie gescheiden heeft, waarbij een deel van het algoritme alleen aan de serverkant werkt.
Dan is er ook nog deze analyse van Apple’s private set intersection-protocol. De klacht komt er in wezen op neer dat het PSI-systeem al vóór het bereiken van de alarmdrempel heel wat informatie doorgeeft aan de servers van Apple. Het artikel beschrijft een scenario waarin rechtshandhavingsinstanties de gegevens bij Apple opvragen, en het suggereert dat zelfs valse waarschuwingen tot een bezoek van de politie kunnen leiden.
Voorlopig zijn bovenstaande slechts de eerste tests van een externe evaluatie van CSAM Detection. Hun succes zal grotendeels afhangen van de vraag of het bedrijf, dat bekend staat om zijn geheimhoudingsprotocollen, openheid van zaken geeft over de werking van CSAM Detection, en dan met name over de broncode.
Wat CSAM Detection voor de gemiddelde gebruiker betekent
Moderne apparaten zijn zo complex dat het niet eenvoudig is om te bepalen hoe veilig ze werkelijk zijn — dat dat wil zeggen, in hoeverre ze voldoen aan de beloften van de fabrikant. Het enige wat de meesten van ons kunnen doen is het bedrijf vertrouwen – of wantrouwen – op basis van zijn reputatie.
Het is echter belangrijk om rekening te houden met het volgende punt: CSAM Detection is alleen actief als gebruikers foto’s naar iCloud uploaden. Apple’s beslissing was weloverwogen en anticipeerde op sommige bezwaren tegen de technologie. Als u geen foto’s naar de cloud uploadt, wordt er nergens iets naartoe verzonden.
U herinnert zich wellicht nog het beruchte conflict tussen Apple en de FBI in 2016, toen de FBI Apple om hulp vroeg bij het ontgrendelen van een iPhone 5C die toebehoorde aan een massaschutter in San Bernardino, Californië. De FBI wilde dat Apple software zou schrijven waarmee de FBI de wachtwoordbeveiliging van de telefoon kon omzeilen.
Het bedrijf, dat inzag dat dit zou kunnen resulteren in het ontgrendelen van niet alleen de telefoon van de schutter maar die van iedereen, weigerde dit. De FBI gaf het op en hackte het toestel uiteindelijk met hulp van buitenaf, waarbij ze de kwetsbaarheden in de software benutten, en Apple behield zijn reputatie als een bedrijf dat vecht voor de rechten van zijn klanten.
Het verhaal ligt echter niet zo simpel. Apple gaf namelijk wel een kopie van de gegevens van iCloud. In feite heeft het bedrijf toegang tot praktisch alle gebruikersgegevens die naar de cloud worden geüpload. Sommige daarvan, zoals de Keychain-wachtwoorden en betaalinformatie, wordt opgeslagen met end-to-end-encryptie, maar de meeste informatie wordt alleen gecodeerd ter bescherming tegen onbevoegde toegang — dat wil zeggen, tegen een hack van de servers van het bedrijf. Dat betekent dus dat het bedrijf de gegevens kan decoderen.
De implicaties hiervan vormen misschien wel de interessantste plotwending in het verhaal van CSAM Detection. Het bedrijf zou bijvoorbeeld gewoon alle foto’s in iCloud-foto’s kunnen scannen (zoals Facebook, Google en veel andere aanbieders van clouddiensten doen). Apple heeft een eleganter mechanisme ontworpen om de beschuldigingen van massaal toezicht op zijn gebruikers te weerleggen, maar in plaats daarvan kreeg het nog meer kritiek omdat het de apparaten van gebruikers scande.
Uiteindelijk verandert al deze ophef nauwelijks iets voor de gemiddelde gebruiker. Als u bezorgd bent over de bescherming van uw gegevens, moet u elke clouddienst met een kritisch oog bekijken. De gegevens die u op uw apparaat opslaat, blijven veilig. De recente acties van Apple hebben gefundeerde twijfels gezaaid. Of de onderneming op deze weg zal doorgaan, blijft een open vraag.