为什么你应该在 iPhone 更新后停止使用 iMessage

对于 iMessage 而言，苹果几周的噩梦突然变得更糟。关于主要安全问题是否已解决的困惑盛行——您的 iMessage 是否安全？而现在苹果刚刚确认了该平台历史上最“令人震惊”和最具争议的更新。真的可能是时候放弃了。记得今年早些时候，当 WhatsApp 在其隐私标签崩溃之后发生了更严重的公关灾难，迫使其 20 亿用户改变了条款。好吧，iMessage 刚刚做了类似的事情。从 Pegasus 开始对 iMessage 用户进行零点击攻击三周后，Apple 刚刚确认设备上的机器学习将很快筛选 iMessage 图像附件以“确定照片是否具有色情内容”。 Apple 的新更新旨在标记在 iMessage 上发送给未成年人或从未成年人发送的色情图片。根据孩子的年龄，该技术会警告孩子父母会被告知，或者只是警告孩子要小心。尽管有良性用例，但加密的密码箱还是会被攻破。 “苹果在端到端加密方面的妥协可能会安抚美国和国外的政府机构，”EFF 警告说，“但对于依赖公司在隐私和安全方面的领导地位的用户来说，这是一个令人震惊的转变。” Apple 还针对用户发送到 iCloud 的照片推出了设备上的筛选器，对图像进行哈希处理以检查执法部门标记的内容。 “我们希望帮助保护儿童免受使用通信工具招募和剥削他们的掠夺者的侵害，”Apple 说，“并限制儿童性虐待材料的传播。”这一点争议较小——在线照片服务已经为 CSAM 筛选内容。 ESET 的 Jake Moore 警告说：“最初的潜在担忧是，这项新技术可能会推动 CSAM 进一步地下化，但至少它可能会在犯罪的早期阶段抓住那些人。然而，次要问题是它突出了 Apple 拥有读取设备上的内容并将任何图像与数据库中已知的图像匹配的能力。这种入侵的强度越来越大，并且通常以一种为了更大的利益而包装。”我们都希望看到部署技术来解决滥用问题，我建议 Facebook 出于这个原因反向加密 Messenger 的计划，但破坏现有的端到端加密就是这样。在 iPhone 上筛选 iCloud 照片是一回事，但在 iPhone 上的 iMessage 中添加任何类型的客户端筛选则是另一回事。需要了解这第一步的后果。

因此，再一次，我们感到没有什么是应该的。担心 WhatsApp 可能会与 Facebook 共享我们的数据是不好的，尽管是可以预测的。但是 Apple 使用技术来窥探我们看似加密的私人 iMessages 吗？ Apple 率先在旗舰、端到端加密信使上引入客户端内容分析。没有人看到这一点。苹果的时机是可怕的。 Pegasus 提出了两个严重的担忧——包括 iMessage 在内的 Apple 生态系统存在危险的漏洞，以及 Apple 不透明的通信和“黑匣子”安全性导致非常不健康的组合。现在我们可以添加第三个——你 iPhone 上发生的事情不再保留在你的 iPhone 上。当 WhatsApp 在 2019 年被自己的 Pegasusgate 攻击时，公司发言人告诉媒体，“工程师们在旧金山和伦敦夜以继日地工作以解决漏洞”，所有用户都应该升级以安装紧急修复程序“以保护对抗潜在的针对性攻击。”对比这次与苹果公司的情况：“上述攻击非常复杂，开发成本数百万美元，通常保质期很短，并且针对特定个人。虽然这意味着它们不会对我们的绝大多数用户构成威胁，但我们将继续不知疲倦地工作以保护我们的所有客户。”这种缺乏清晰度让许多 iPhone 用户感到震惊。 “有迹象表明 [iOS 14.7.1] 可能已经修复，但我们不知道”STC 的 Kate O'Flaherty 在本周的视频中警告说。 “即使是最好的安全研究人员也不能说......真正的问题是苹果公司完全缺乏透明度。每个人都希望这被修复，但我们不知道它是否被修复。如果它不固定，为什么不固定？这是怎么回事？”首先，有报道称 Pegasus 利用了 iMessage、iCloud Photo Streaming 和 Apple Music，将这些内部应用程序和服务拼接在一起的架构存在安全漏洞。请记住，攻击可能来自 iCloud 帐户。所有这些都因 Apple 的“黑匣子”而变得更糟，使得第三方研究人员和软件难以调查并阻止攻击。人们可以推测，苹果一直不愿公开声称甚至暗示它已经阻止了 Pegasus 漏洞利用的一个原因是，NSO 可能只是从货架上拉出另一个漏洞，在苹果的操作系统中穿插另一根针，导致曝光时尴尬。这表明苹果需要对架构进行认真的重新思考。

其次，这暴露了 iMessage 的一个令人担忧的风险，即这个安全的信使提供了一条通向您 iPhone 的隧道，通过该隧道，拥有 iCloud 帐户的不良行为者可以推送恶意漏洞，然后您的设备会静默处理这些漏洞。这给我们带来了来自“未知发件人”的风险。 SMS 的普遍性意味着，从广义上讲，您可以从自己的任何电话上发短信。 WhatsApp、iMessage 和其他产品复制了这种无处不在的功能，但它们也会让您的手机面临严重的新风险。自动下载可能隐藏恶意代码、处理其他附件或可能利用漏洞的后端处理的图像。具有讽刺意味的是，考虑到 Pegasus 可能是对 iMessage 的“未知发件人”攻击。苹果似乎通过其“过滤未知发件人”选项来解决这一风险。 Apple 表示，这会“关闭来自不在您通讯录中的发件人的 iMessage 通知”，“您将不会收到这些消息的通知”。从表面上看，这似乎是一个非常好的举措。显然与 Signal 不在同一级别，后者的消息请求功能不允许未知发件人在用户接受联系之前向该用户发送消息，而是朝着正确方向迈出的明确一步。人们可能期望启用此过滤会在 iMessage 中触发额外的保护。 Check Point 的 Yaniv Balmas 告诉我，这应该是“在移动安全方面向前迈出的一步，可以防止广泛的攻击”。它应该是“另一层防御，并为漏洞利用开发人员提高更高的标准。”除了它没有按规定工作外，考虑到 Pegasus 媒体报道中的建议，即过滤器可能提供一些防御，以及几乎可以肯定的是“未知发件人”实施了攻击，这似乎特别尴尬。我使用来自非联系人的普通 iPhone 到 iPhone 消息测试了过滤器，推送通知、预览、附件和元数据都通过了。唯一改变的是分成两个列表，已知和未知，光学。研究员 Tommy Mysk 从 iCloud 到 iPhone 进行了相同的测试，发现相同。似乎它最初有效，但可能随着 iOS 14 的推出而改变。

因此，人们可以假设未知发件人在幕后发生的事情比我们希望的要少得多。 “我认为，如果该选项提供了任何防线 [针对 Pegasus]，”Mysk 告诉我，“Apple 会默认启用它。”当我向他们提出这个问题时，Apple 没有回应我，也没有回答我关于其他后端保护以防止未知发件人消息的问题，或者 Pegasus 漏洞是否已被修补。让我们在这里非常清楚，iMessage、WhatsApp 和所有其他平台都不应允许任何人向您发送消息，除非您接受该联系。至少该消息应该被非常仔细地沙盒化，直到它被检查，或者你已经认可了该联系人。方便与隐私和安全再次。与此同时，iMessage 的架构存在漏洞，保护功能似乎没有按预期工作，而且苹果公司没有就对用户的影响以及这些用户如何保持安全——除了每周重启手机之外。最重要的是，我们现在可以在设备上对性图像进行 iMessage 筛选，以进一步混淆和警告用户。 iMessage 即将改变其定位。 “这对 Apple 来说是一个真正的子弹相遇的时刻，”我的 STC 同事 Davey Winder 说。 “我不太确定 [Apple] 认为这会对用户产生什么影响。除此之外，它的整个 ML 方面都引发了巨大的危险信号。”数据隐私专家艾米莉·奥弗顿 (Emily Overton) 警告说：“大众所做的所有筛选都是在伤害好人，将坏人推向更深的地下，”强调敏感的私人信息可能会在不经意间暴露的严重风险。

Davey 在机器学习方面是绝对正确的。有明显的异常，例如它将如何避免错误标记图像的已知风险。虽然 iMessage 过滤器现在可能会保留在你的 iPhone 上，但它是根据监视列表筛选图像、人工验证和设备外通知的一小步。所有这些都是隐私的巨大倒退。但实际上这里潜伏着更大的风险。还记得围绕苹果拒绝加密 iCloud 以安抚美国执法部门的报道的争议吗？或者报道 iCloud 在中国托管以安抚那个关键的苹果市场的当局？我们可以相信 Apple 不会陷入危险的妥协，不会遵守当地法律吗？现在，Apple 将拥有可用于搜索和标记客户端内容的技术。 “不幸的是，”Cyjax 首席信息安全官 Ian Thornton-Trump 说，“因为全球执法的适当严格性可能不符合西方标准，我认为这至少不应该在没有授权的情况下部署到用户帐户中。在一些国家，该功能可能被滥用，例如寻找政府批评者的照片，应该完全限制访问此功能。”现在，这一切都与儿童安全有关，但持不同政见者和抗议团体、所谓的罪犯呢？当 Apple 面临美国、欧洲或中国执法部门的挑战以扩大其目标时会发生什么？它将无法再提供“技术上不可能”的防御，这个rubicon 将被越过。正如 EFF 解释的那样，“Apple 现在可以将新的训练数据添加到发送到用户设备的分类器中，或者向更广泛的受众发送通知，轻松审查和令人不寒而栗的言论。” “苹果在沙特阿拉伯销售没有 FaceTime 功能的 iPhone，因为当地法规禁止加密电话，”隐私研究员 Nadim Kobeissi 博士在为反对苹果最新举措的“公开信”撰稿时说。 “这只是苹果屈服于当地压力的众多例子之一。如果沙特阿拉伯的当地法规要求扫描信息不是针对儿童性虐待，而是针对同性恋或违反君主制的行为，会发生什么？”苹果公司尚未对其引发的争议做出全面回应，该公司在发布之前也没有回应我的问题。到目前为止，我们所拥有的最好的是报告的内部备忘录，尽管受到批评，但仍对此举表示赞赏。 “我们知道有些人有误解，”Apple 副总裁 Sebastien Marineau-Mes 写道，“而且不少人担心其影响，但我们将继续解释和详细说明这些功能，以便人们了解我们的构建。”

端到端加密消息是有争议的，它一方面成为鹰派立法者和安全机构之间的中心战场，另一方面成为大型科技公司和隐私游说团体之间的中心战场。一旦引入后门，人们担心它很快就会失控。而苹果似乎只是先眨了眨眼。影响将在一段时间内不得而知，但这绝对是一个关键时刻。下周我们将在 STC 上更详细地讨论这个问题，研究 iMessage 和照片更新以及对 Apple 超过 10 亿 iPhone 用户的影响。如果您有任何特别的问题或疑虑，请告诉我们。与此同时，iMessage 用户担心严重的漏洞可能已经修复，也可能没有修复，苹果即将打破自己的模型并屏蔽他们 iPhone 上的私人 iMessage，这可能会给苹果的“黑匣子”带来更多漏洞生态系统。也许是时候了...