Poco después de los informes de que Apple comenzará a escanear iPhones en busca de imágenes de abuso infantil, la compañía confirmó su plan y proporcionó detalles en un comunicado de prensa y un resumen técnico.
“El método de Apple para detectar CSAM (material de abuso sexual infantil) está diseñado teniendo en cuenta la privacidad del usuario”, dijo Apple. “En lugar de escanear imágenes en la nube, el sistema realiza una comparación en el dispositivo utilizando una base de datos de hashes de imágenes CSAM conocidas proporcionadas por el NCMEC (Centro Nacional para Niños Desaparecidos y Explotados) y otras organizaciones de seguridad infantil. Apple transforma aún más esta base de datos en un archivo ilegible conjunto de hash que se almacena de forma segura en los dispositivos de los usuarios “.
Apple proporcionó más detalles sobre el sistema de detección de CSAM en un resumen técnico y dijo que su sistema utiliza un umbral “establecido para proporcionar un nivel de precisión extremadamente alto y garantiza menos de uno en un billón de posibilidades por año de marcar incorrectamente una cuenta determinada”.
Los cambios se implementarán “a finales de este año en actualizaciones para iOS 15, iPadOS 15, watchOS 8 y macOS Monterey”, dijo Apple. Apple también implementará un software que puede analizar imágenes en la aplicación Mensajes para un nuevo sistema que “advertirá a los niños y sus padres cuando reciban o envíen fotos sexualmente explícitas”.
Apple acusado de construir “infraestructura para la vigilancia”
A pesar de las garantías de Apple, los expertos en seguridad y defensores de la privacidad criticaron el plan.
“Apple está reemplazando su sistema de mensajería cifrada de extremo a extremo estándar de la industria con una infraestructura de vigilancia y censura, que será vulnerable al abuso y al alcance no solo en los EE. UU., sino en todo el mundo”, dijo Greg Nojeim. codirector del Proyecto de Vigilancia y Seguridad del Centro para la Democracia y la Tecnología. “Apple debería abandonar estos cambios y restaurar la fe de sus usuarios en la seguridad e integridad de sus datos en los dispositivos y servicios de Apple”.
Durante años, Apple ha resistido la presión del gobierno de Estados Unidos para instalar una “puerta trasera” en sus sistemas de cifrado, diciendo que hacerlo socavaría la seguridad de todos los usuarios. Apple ha sido elogiada por los expertos en seguridad por esta postura. Pero con su plan para implementar software que realiza escaneos en el dispositivo y compartir resultados seleccionados con las autoridades, Apple está peligrosamente cerca de actuar como una herramienta para la vigilancia gubernamental, sugirió el profesor de criptografía de la Universidad Johns Hopkins, Matthew Green, en Twitter.
El escaneo del lado del cliente que Apple anunció hoy podría eventualmente “ser un ingrediente clave para agregar vigilancia a los sistemas de mensajería cifrada”, escribió. “La capacidad de agregar sistemas de escaneo como este a los sistemas de mensajería E2E [cifrados de extremo a extremo] ha sido una importante ‘pregunta’ por parte de las fuerzas del orden en todo el mundo”.
Escaneo de mensajes e “intervención” de Siri
Además de escanear dispositivos en busca de imágenes que coincidan con la base de datos CSAM, Apple dijo que actualizará la aplicación Mensajes para “agregar nuevas herramientas para advertir a los niños y sus padres cuando reciban o envíen fotos sexualmente explícitas”.
“Messages utiliza el aprendizaje automático en el dispositivo para analizar los archivos adjuntos de imágenes y determinar si una foto es sexualmente explícita. La función está diseñada para que Apple no tenga acceso a los mensajes”, dijo Apple.
Cuando se marca una imagen en Mensajes, “la foto se verá borrosa y se advertirá al niño, se le presentarán recursos útiles y se le asegurará que está bien si no quiere ver esta foto”. El sistema permitirá a los padres recibir un mensaje si los niños ven una foto marcada, y “existen protecciones similares disponibles si un niño intenta enviar fotos sexualmente explícitas. El niño será advertido antes de que se envíe la foto y los padres pueden recibir un mensaje si el niño elige enviarlo “, dijo Apple.
Apple dijo que actualizará Siri y Search para “brindar a padres e hijos información ampliada y ayuda si se encuentran en situaciones inseguras”. Los sistemas Siri y Search “intervendrán cuando los usuarios realicen búsquedas de consultas relacionadas con CSAM” y “explicarán a los usuarios que el interés en este tema es dañino y problemático, y proporcionarán recursos de socios para obtener ayuda con este problema”.
El Centro para la Democracia y la Tecnología calificó el escaneo de fotografías en Mensajes como una “puerta trasera”, escribiendo:
El mecanismo que permitirá a Apple escanear imágenes en Mensajes no es una alternativa a una puerta trasera, es una puerta trasera. El escaneo del lado del cliente en un “extremo” de la comunicación rompe la seguridad de la transmisión e informar a un tercero (el padre) sobre el contenido de la comunicación socava su privacidad. Las organizaciones de todo el mundo han advertido contra el escaneo del lado del cliente porque podría usarse como una forma para que los gobiernos y las empresas controlen el contenido de las comunicaciones privadas.
La tecnología de Apple para analizar imágenes
El resumen técnico de Apple sobre la detección de CSAM incluye algunas promesas de privacidad en la introducción. “Apple no aprende nada sobre las imágenes que no coinciden con la base de datos CSAM conocida”.
La tecnología hash de Apple se llama NeuralHash y “analiza una imagen y la convierte en un número único específico para esa imagen. Solo otra imagen que parezca casi idéntica puede producir el mismo número; por ejemplo, las imágenes que difieren en tamaño o calidad transcodificada todavía tienen el mismo valor de NeuralHash “, escribió Apple.
Antes de que un iPhone u otro dispositivo Apple cargue una imagen en iCloud, el dispositivo crea un vale de seguridad criptográfico que codifica el resultado de la coincidencia. También encripta el NeuralHash de la imagen y un derivado visual. Este vale se carga en iCloud Photos junto con la imagen. “
Si bien señaló la probabilidad 1 en 1 billón de un falso positivo, Apple dijo que “revisa manualmente todos los informes hechos al NCMEC para garantizar la precisión de los informes”. Los usuarios pueden “presentar una apelación para que se restablezca su cuenta” si creen que su cuenta se marcó por error.
Dispositivos de usuario para almacenar la base de datos CSAM cegada
Los dispositivos de usuario almacenarán una “base de datos cegada” que le permite al dispositivo determinar cuándo una foto coincide con una imagen en la base de datos CSAM, explicó Apple:
Primero, Apple recibe los NeuralHashes correspondientes a CSAM conocido de las organizaciones de seguridad infantil mencionadas anteriormente. A continuación, estos NeuralHashes pasan por una serie de transformaciones que incluyen un paso de cegamiento final, impulsado por criptografía de curva elíptica. El cegamiento se realiza utilizando un secreto cegador del lado del servidor, conocido solo por Apple. Los hash CSAM ciegos se colocan en una tabla hash, donde la posición en la tabla hash es puramente una función del NeuralHash de la imagen CSAM. Esta base de datos cegada se almacena de forma segura en los dispositivos de los usuarios. Las propiedades de la criptografía de curva elíptica garantizan que ningún dispositivo pueda inferir nada sobre los hashes de la imagen CSAM subyacente a partir de la base de datos cegada.
Un iPhone u otro dispositivo analizará las fotos de los usuarios, calculará un NeuralHash y buscará “la entrada en la tabla de hash cegada”. El dispositivo “también utiliza el hash ciego que el sistema buscó para obtener una clave de cifrado derivada” y utiliza esa clave de cifrado “para cifrar los datos de carga útil asociados”.
Combinado con otros pasos, esto asegura que solo se descifrarán las imágenes que coincidan con la base de datos CSAM, Apple escribió:
Si el hash de la imagen del usuario coincide con la entrada en la lista de hash CSAM conocida, entonces el NeuralHash de la imagen del usuario se transforma exactamente en el hash cegado si pasó por la serie de transformaciones realizadas en el momento de la configuración de la base de datos. Según esta propiedad, el servidor podrá utilizar el encabezado criptográfico (derivado de NeuralHash) y, utilizando el secreto del lado del servidor, podrá calcular la clave de cifrado derivada y descifrar con éxito los datos de carga útil asociados.
Si la imagen del usuario no coincide, el paso anterior no conducirá a la clave de cifrado derivada correcta y el servidor no podrá descifrar los datos de carga útil asociados. Por tanto, el servidor no aprende nada sobre las imágenes que no coinciden.
El dispositivo no aprende sobre el resultado de la coincidencia porque eso requiere conocimiento del secreto cegador del lado del servidor.
Finalmente, el cliente carga la imagen en el servidor junto con el comprobante que contiene los datos de carga útil cifrados y el encabezado criptográfico.
arstechnica.com – Apple explains how iPhones will scan photos for child-sexual-abuse images