苹果的错误
2009 年 8 月,也就是 iPhone 3GS 发布两个月后,野蛮人闯入了大门;来自在线摄影师:领先的照片共享网站 flickr.com 列出了其会员使用的相机的受欢迎程度。最近,苹果 iPhone 与佳能 XTi 并列第一。此外,flickr 在其“Camera Finder”页面上表示,它只能检测大约 2/3 时间使用的相机,因此,可拍照手机在图表上的代表性不足。哎呀。 iPhone 不仅会继续成为 Flickr 上的第一台相机,而且在对其影响力的一个更引人注目的衡量标准中,为 Instagram 创造了条件,Instagram 这个照片共享网络使 Flickr 黯然失色,就像谷歌曾经超越雅虎(雅虎,当然,拥有 Flickr)。 Instagram 本身很快就被 Facebook 收购,Facebook 本身也从 iPhone 相机中受益匪浅;随身携带一台不断改进的优质相机,再加上持续的连接,将照片从特殊场合的纪念照片转变为用 Snap 首席执行官埃文·斯皮格尔 (Evan Spiegel) 的话来说,“我们日常生活中交流的一部分。”那么,像 Facebook 这样主要用于移动设备(即 Android 或 iOS)的公司在 2020 年发布了 2030 万份儿童性虐待材料 (CSAM) 报告,而苹果仅发布了 265 份,这是怎么回事? 1 毕竟,智能手机上的照片几乎肯定比社交网络上的要多——前者在很大程度上是后者的超集。美国法典第 18 部分第 1 章第 110 章第 2258A 节规定了公司必须如何处理 CSAM(此处为完整文本): (A) 职责。——为了减少在线儿童性剥削的泛滥并防止对儿童的在线性剥削,提供者—— (i) 在实际了解任何 [CSAM] 后,应在合理的范围内尽快采取 (B) 项所述的行动; (ii) 可在实际了解任何事实或情况后[暗示即将发生虐待儿童],采取(B) 项所述的行动。
(i) 向 NCMEC [国家失踪与受虐儿童中心] 的 CyberTipline 或 NCMEC 运营的 CyberTipline 的任何继承者提供以下人员的邮寄地址、电话号码、传真号码、电子邮件地址和个人联系方式,这样的提供者; (ii) 向 CyberTipline 或 NCMEC 运营的 CyberTipline 的任何继承者报告此类事实或情况。 (e) 未报告。——如果供应商明知而故意未按照 (a)(1) 款的要求提交报告,则应处以罚款—— (1) 在最初知情且故意未提交报告的情况下,不超过$150,000; (2) 在任何第二次或随后的知情和故意不报告的情况下,不超过 300,000 美元。 (f) 隐私保护——本节中的任何内容均不得解释为要求提供商—— (1) 监控该提供商的任何用户、订户或客户; (2) 监控第 (1) 段所述的任何人的任何通信内容; (3) 肯定地搜索、筛选或扫描 (a) 和 (b) 节中描述的事实或情况。这两条规定说明了为什么 Facebook 和 Apple 报告的数字在历史上如此不同:这不是因为 Facebook 上的 CSAM 比 Apple 设备上存在的 CSAM 多,而是因为 Facebook 正在扫描发送到其服务并通过其服务的所有图像,而 Apple 不会查看您手机中或云中的内容。从那里,数字更有意义:Facebook 正在报告它的发现,而 Apple,正如第 (3) 节的标题所暗示的那样,保护隐私并且根本不查看图像。上周,Apple 在其网站上设立了一个名为“扩大对儿童的保护”的特别页面:
在 Apple,我们的目标是创造技术,赋予人们权力并丰富他们的生活,同时帮助他们保持安全。我们希望帮助保护儿童免受使用通信工具招募和剥削他们的掠夺者的侵害,并限制儿童性虐待材料 (CSAM) 的传播。 Apple 正在与儿童安全专家合作开发的三个领域引入新的儿童安全功能。首先,新的交流工具将使父母能够在帮助孩子进行在线交流方面发挥更明智的作用。 Messages 应用程序将使用设备上的机器学习来警告敏感内容,同时保持 Apple 无法读取私人通信。接下来,iOS 和 iPadOS 将使用新的密码学应用程序来帮助限制 CSAM 在线传播,同时为用户隐私进行设计。 CSAM 检测将帮助 Apple 向执法部门提供有关 iCloud 照片中 CSAM 集合的宝贵信息。最后,Siri 和搜索的更新为父母和孩子提供了更多信息,并在他们遇到不安全情况时提供帮助。当用户尝试搜索 CSAM 相关主题时,Siri 和搜索也会进行干预。 Daring Fireball 的约翰·格鲁伯(John Gruber)很好地概述了实际上三个截然不同的举措;然而,将苹果的方法与 Facebook 的方法结合在一起并继续将苹果的方法与 Facebook 的不同之处在于,苹果正在扫描您设备上的内容,而 Facebook 则在云中进行。 Apple 一再强调,这确保 Apple 无法访问您的内容。来自“消息中的通信安全”部分:消息使用设备上的机器学习来分析图像附件并确定照片是否具有色情内容。该功能旨在使 Apple 无法访问这些消息。 Apple 检测已知 CSAM 的方法在设计时考虑了用户隐私。该系统不是在云端扫描图像,而是使用 NCMEC 和其他儿童安全组织提供的已知 CSAM 图像哈希数据库执行设备上匹配......这项创新的新技术使 Apple 能够向 NCMEC 和执法部门提供有价值且可操作的信息已知 CSAM 的扩散。这样做的同时还提供了比现有技术显着的隐私优势,因为 Apple 只有在用户的 iCloud 照片帐户中有一组已知的 CSAM 时才会了解用户的照片。即使在这些情况下,Apple 也只会了解与已知 CSAM 匹配的图像。
可以从三种方式来思考 Apple 的方法,无论是孤立地还是相对于 Facebook 等服务而言:2 理想化的结果、最坏的结果以及可能的驱动因素。苹果的理想化结果解决了许多看似棘手的问题。一方面,CSAM 是可怕的,而 Apple 没有采取任何措施;另一方面,该公司长期致力于不断增加加密量,最好是端到端的。 Apple 的系统,如果它按照设计精确运行,则保留了两个目标:该公司不仅可以在 Messages 中保留端到端加密,还可以将其添加到 iCloud 照片(目前未进行端到端加密)、安全知道它不仅要报告 CSAM,还要帮助父母照顾他们的孩子。而且,从商业角度来看,这意味着苹果可以继续不进行像 Facebook 这样的公司对信任和安全团队的大规模投资;算法会处理它。当然,这就是问题所在:Apple 控制算法,包括它查找的内容、它可能存在或不存在的错误以及输入(在 CSAM 扫描的情况下是来自 NCMEC 的数据库)。苹果当然努力成为一家用户信任的公司,但我们已经知道这种信任并没有无处不在:苹果在中国政府的压力下,将中国用户的 iCloud 数据连同加密一起放在了国有企业服务器上访问它所需的密钥。当中国宣布其 NCMEC 版本时会发生什么,其中不仅包括苹果系统旨在捕捉的可怕图像,还包括政府认为非法的图像和模因?根本问题——也是我认为苹果在这里犯错的第一个原因——是能力和政策之间存在有意义的差异。在 2016 年的圣贝纳迪诺案中,支持苹果公司的最有力论据之一是,该公司甚至没有办法闯入有问题的 iPhone,而建立这种能力将使公司能够接受大量请求这在本质上远没有那么紧迫,并削弱了公司抵御外国政府的能力。不过,在这种情况下,Apple 正在构建能力,唯一阻碍公司的是政策。再说一次,苹果的政策并不是唯一重要的政策:英国和欧盟都在推进要求在线服务公司主动寻找和报告 CSAM 的法案。事实上,如果这是苹果此举背后最重要的因素,我不会感到惊讶:该公司不想放弃端到端加密 - 并且可能想要扩展它 - 这使得设备上扫描成为不仅(仅)满足中国政府而且满足西方政府的唯一途径。我认为 Apple 的难题还有另一个解决方案;从我的角度来看,令人沮丧的是,我认为该公司已经基本存在了。想想现状:早在 2020 年,路透社就曾报道称,苹果公司决定不加密 iCloud 备份,应 FBI 的要求:在 FBI 抱怨此举后,苹果公司放弃了让 iPhone 用户在公司的 iCloud 服务中完全加密其设备备份的计划六名熟悉此事的消息人士告诉路透社,这会损害调查。这家科技巨头的逆转,大约在两年前,之前没有报道过。它显示了苹果公司愿意帮助美国执法和情报机构的程度,尽管在与政府的高调法律纠纷中采取了更强硬的立场,并将自己塑造为客户信息的捍卫者。
这对 Apple 的安全声明有许多重大影响,这也是为什么今年早些时候我将 iMessage 列为不如 Signal、WhatsApp、Telegram 和 Facebook Messenger 安全的原因:iMessage 默认对消息进行端到端加密;但是,如果您打开了 iCloud 备份,则 Apple(拥有 iCloud 备份的密钥)可以访问您的消息,并且通过扩展,执法部门可以通过手令访问。但是,与 WhatsApp 不同的是,它默认处于开启状态,并且无法在粒度上关闭。这个警告几乎适用于 iPhone 上的所有内容:如果您屈服于永无止境的登录 iCloud 提示及其默认备份解决方案,则 Apple 可以访问您的数据,并且通过扩展,执法部门可以访问手令。其实我觉得这很有道理!当路透社的报道出来时,我写了这篇文章:回到我上面所说的:坚定的演员将可以使用加密和面部识别。任何试图争论这些技术是否应该存在的人都没有生活在现实中。因此,我们应该注意确保优秀的参与者也可以使用这些技术。这意味着不使它们成为非法。其次,应该认真对待对执法需求和互联网激进性质的合理社会关切。这意味着我们应该非常仔细地考虑将加密设置为默认值……这也区分了原则上的差异:用户有代理权——他们可以确保他们所做的一切都是加密的——而完全隐私是可用的,但不是默认提供的。实际上,我认为 Apple 在实现这种平衡方面做得非常出色。就 iPhone 本身而言,Apple 是唯一能够使其真正安全的实体。没有人可以建立自己的安全飞地,这是 iPhone 安全的根源。因此,他们这样做是正确的:每个人都可以访问加密。从那里可以构建一个完全安全的环境:仅使用加密通信,使用加密备份到由其自己的基于硬件的身份验证方案保护的计算机等。不过,采用稍微简单的方法 - iCloud 备份、Facebook 消息传递等. - 意味着某种程度的脆弱性,我们不要忘记,有时可以合理地利用这种脆弱性。执法部门可以获得这些备份或聊天记录的授权,就像他们可以安装窃听器一样。
同样,这不会阻止坚定的坏演员,但正如我所指出的,没有什么。问题是其余的人,那些被最糟糕的社区席卷而来的人,以及那些犯下合法罪行的人:他们的违约应该是什么?我对 Facebook 默认加密 Facebook Messenger 对话的计划提出了类似的论点,我反对,尽管我支持选择加密:我不反对加密,实际上非常反对强制后门。每个用户都应该能够锁定他们的设备和他们的通信;坏演员肯定会。同时,争论默认设置和用户最简单的路径是公平的:我认为 iPhone 从根本上是安全的,iCloud 备份受法律约束是一个合理的妥协。然而,在这种情况下,Apple 的选择是朝着相反的方向发展:Apple 没有将 CSAM 扫描添加到他们拥有和运营的云中的 iCloud 照片,而是损害了你和我拥有和运营的手机,而没有我们中的任何人都对此事有发言权。是的,您可以关闭 iCloud 照片以禁用 Apple 的扫描,但这是一项政策决定;进入用户手机的能力现在已经存在,iPhone 用户无法摆脱它。对于我开始的“Flickr 问题”,一个更好的解决方案是认识到正确的比较点不是 iPhone 和 Facebook,而是 Facebook 和 iCloud。一个人的设备应该是一个人的财产,拥有所有权和隐私的所有期望;与此同时,云服务也是其所有者的财产,具有社会责任和守法的所有期望。令人失望的是,Apple 如此执着于其特定的隐私愿景,以至于最终背叛了用户控制的支点:能够相信您的设备真正属于您。
