All’inizio di agosto di quest’anno, Apple ha svelato il suo nuovo sistema per identificare le foto contenenti immagini di abusi su minori. Anche se la motivazione di Apple alla base di questo sistema, ovvero combattere la diffusione della pornografia infantile, è senza dubbio lodevole, l’annuncio ha sollevato subito diverse critiche.
Apple da tempo si preoccupa di costruire un’immagine di casa produttrice di dispositivi dove la privacy degli utenti è al primo posto. Le nuove funzionalità previste per iOS 15 e iPadOS 15 hanno già inferto un duro colpo a questa immagine ma l’azienda non si sta tirando indietro. Ecco cosa è successo e quali conseguenze ci saranno per l’utenti medio di iPhone e iPad.
Cos’è il rilevamento CSAM?
I progetti di Apple sono ben delineati sul sito web della società. L’azienda ha sviluppato un sistema chiamato rilevamento CSAM, che cerca nei dispositivi degli utenti “materiale pedopornografico”, noto anche come CSAM (acronimo inglese per Child Sexual Abuse Material).
Anche se “pornografia infantile” è sinonimo di CSAM, il National Center for Missing and Exploited Children (NCMEC), che aiuta a trovare e salvare i bambini scomparsi e sfruttati negli Stati Uniti, considera “CSAM” il termine più appropriato. Il NCMEC fornisce ad Apple e ad altre aziende tecnologiche informazioni sulle immagini CSAM conosciute.
Apple ha introdotto il rilevamento CSAM insieme ad altre caratteristiche che espandono il controllo dei genitori sui dispositivi mobili Apple. Per esempio, i genitori riceveranno una notifica se qualcuno invia ai loro figli una foto sessualmente esplicita su Apple Messages.
La presentazione simultanea di diverse tecnologie ha portato ad una certa confusione, e molte persone hanno avuto l’impressione che Apple volesse monitorare tutti gli utenti in ogni momento, e non è questo il caso.
Tempi di implementazione del rilevamento CSAM
Il rilevamento CSAM farà parte dei sistemi operativi mobili iOS 15 e iPadOS 15, che saranno disponibili a partire da questo autunno per gli utenti dei dispositivi iPhone e iPad correnti (iPhone 6S, iPad di quinta generazione e successivi). Anche se la funzione in teoria sarà disponibile sui dispositivi mobili Apple in tutto il mondo, per ora il sistema funzionerà appieno solo negli Stati Uniti.
Come funzionerà il rilevamento CSAM
Il rilevamento CSAM funziona solo in combinazione con iCloud Photos, che è la parte del servizio iCloud che carica le foto da uno smartphone o tablet ai server Apple e che saranno accessibili anche sugli altri dispositivi dell’utente.
Se un utente disattiva la sincronizzazione delle foto nelle impostazioni, il rilevamento CSAM smette di funzionare. Questo significa che le foto vengono confrontate con quelle dei database criminali solo nel cloud? Non esattamente. Il sistema è volutamente complesso: Apple sta cercando di garantire un certo grado di privacy.
Come spiega Apple, il rilevamento CSAM funziona scansionando le foto su un dispositivo per determinare se corrispondono alle foto nei database NCMEC o di altre organizzazioni simili.
Il metodo di rilevamento utilizza la tecnologia NeuralHash, che in sostanza crea identificatori digitali, o hash, per le foto in base al loro contenuto. Se un hash corrisponde a uno presente nel database delle immagini conosciute inerenti a una qualche forma di sfruttamento di bambini, allora l’immagine e il suo hash vengono caricati sui server di Apple. Apple, a sua volta, esegue un ulteriore controllo prima di registrare ufficialmente l’immagine.
Un altro componente del sistema, una tecnologia di cifratura chiamata private set intersection, cifra i risultati della scansione del rilevamento CSAM in modo che Apple possa decifrarli solo se una serie di criteri sono soddisfatti. In teoria, questo dovrebbe impedire che il sistema venga usato in modo improprio, cioè dovrebbe impedire a un dipendente dell’azienda di abusare del sistema o di consegnare le immagini su richiesta delle agenzie governative.
In un’intervista del 13 agosto con il Wall Street Journal, Craig Federighi, vicepresidente senior di software engeneering per Apple, ha spiegato in cosa consiste il protocollo private set intersection: per allertare Apple, devono corrispondere 30 foto alle immagini nel database NCMEC. Come mostra il diagramma qui di seguito, il sistema private set intersection non permetterà che l’insieme di dati (le informazioni sul funzionamento del rilevamento CSAM e le foto), sia decifrato fino a quando questa soglia non sarà raggiunta. Secondo Apple, poiché la soglia per segnalare un’immagine è molto alta, una falsa corrispondenza è molto improbabile, ovvero una “possibilità su un trilione”.
Cosa succede quando il sistema viene allertato? Un dipendente Apple controlla manualmente i dati, conferma la presenza o meno di pornografia infantile e avvisa le autorità. Per ora il sistema funzionerà a pieno regime solo negli Stati Uniti, quindi la notifica raggiungerà il NCMEC, che è promosso dal Dipartimento di Giustizia degli Stati Uniti.
Problemi con il sistema di rilevamento CSAM
Le potenziali critiche alle azioni di Apple rientrano in due categorie: mettere in discussione l’approccio dell’azienda e analizzare le vulnerabilità del protocollo. Al momento, ci sono poche prove concrete che Apple abbia commesso un errore tecnico (una questione che discuteremo più in dettaglio in seguito), anche se non sono mancate critiche in ambito più generale.
Per esempio, la Electronic Frontier Foundation ha descritto in dettaglio alcune problematiche. Secondo la EFF, aggiungendo la scansione delle immagini degli utenti, Apple sta essenzialmente incorporando una porta sul retro per accedere ai dispositivi degli utenti. La EFF è scettica nei confronti di questa idea fin dal 2019.
Quale sarebbe l’aspetto negativo di tutto ciò? Beh, considerate di avere un dispositivo nel quale i dati sono completamente cifrati (come afferma Apple) che poi inizia a segnalare ad estranei certi contenuti. Al momento l’obiettivo è la pornografia infantile e ci si basa sull’assioma che, se non si sta facendo nulla di male, non c’è nulla di cui preoccuparsi; tuttavia, se esiste un meccanismo del genere, non possiamo sapere che non verrà applicato ad altri contenuti.
In definitiva, questa critica si riferisce più alle implicazioni politiche che alla tecnologica. Il problema sta nell’assenza di un contratto sociale che bilanci sicurezza e privacy. Tutti noi, dai burocrati ai produttori di dispositivi, passando per gli sviluppatori di software, gli attivisti dei diritti umani e gli utenti, stiamo cercando di trovare questo equilibrio.
Le forze dell’ordine si lamentano del fatto che la cifratura diffusa complichi la raccolta di prove e la cattura dei criminali, e questo è comprensibile. Anche le preoccupazioni per la sorveglianza digitale di massa sono ovvie. Le opinioni, comprese quelle in merito alle politiche e alle decisioni di Apple, sono di tutti i tipi.
Potenziali problemi con l’implementazione del rilevamento CSAM
Lasciando per un attimo da parte le perplessità etiche, dal punto di vista tecnologico ci imbattiamo in alcune strade sconnesse. Qualsiasi codice di un programma produce nuove vulnerabilità. Non importa cosa potrebbero fare i governi: cosa succederebbe se un criminale informatico approfittasse delle vulnerabilità del sistema rilevamento CSAM? Quando si tratta di cifratura di dati, la preoccupazione è naturale e fondata: se si indebolisce la protezione delle informazioni, anche se con buone intenzioni, allora chiunque può sfruttare questa debolezza per altri scopi.
Una revisione indipendente del codice di rilevamento CSAM è appena iniziata e potrebbe richiedere molto tempo. Tuttavia, abbiamo già appreso alcune cose.
In primo luogo, il codice che permette di confrontare le foto con un “modello” esiste in iOS (e macOS) dalla versione 14.3. È del tutto possibile che il codice farà parte del rilevamento CSAM. Le utility per sperimentare un algoritmo di ricerca per la corrispondenza delle immagini hanno già trovato alcune incogruenze. Per esempio, secondo l’algoritmo NeuralHash di Apple, le due immagini qui sotto hanno lo stesso hash:
Se è possibile estrarre il database degli hash delle foto illegali, allora è possibile creare immagini “innocenti” che fanno scattare l’allarme, il che significa che Apple potrebbe ricevere abbastanza falsi allarmi da rendere il rilevamento CSAM insostenibile. Questo è molto probabilmente il motivo per cui Apple mantiene separato questo rilevamento, con una parte dell’algoritmo che lavora solo sul lato server.
C’è anche un’analisi del protocollo private set intersection (PSI) di Apple che fa discutere. La denuncia è essenzialmente questa: anche prima di raggiungere la soglia di allarme, il sistema PSI trasferisca un bel po’ di informazioni ai server di Apple. L’articolo descrive uno scenario in cui le forze dell’ordine richiedono i dati ad Apple, e suggerisce che anche i falsi allarmi potrebbero portare a una visita della polizia.
Per ora si tratta solo di prove iniziali di una revisione esterna del rilevamento CSAM. Il loro successo dipenderà in gran parte dall’azienda (nota per il valore che dà alla privacy), che offrirà informazioni trasparenti sul funzionamento del rilevamento CSAM, e in particolare, sul suo codice sorgente.
Rilevamento CSAM: implicazioni per l’utente medio
I dispositivi moderni sono così complessi che non è facile determinare quanto siano veramente sicuri, cioè fino a che punto siano all’altezza delle promesse della casa produttrice. Tutto ciò che la maggior parte di noi può fare è fidarsi, o diffidare, dell’azienda in base alla sua reputazione.
Tuttavia, è importante ricordare un punto chiave: il rilevamento CSAM funziona solo se gli utenti caricano le foto su iCloud. La decisione di Apple è stata intenzionale e ha anticipato alcune delle obiezioni alla tecnologia. Se non si caricano le foto sul cloud, nulla verrà inviato da nessuna parte.
Forse ricorderete il famoso conflitto tra Apple e l’FBI nel 2016, quando l’FBI chiese aiuto ad Apple per sbloccare un iPhone 5C che apparteneva al colpevole di una sparatoria a San Bernardino, in California. L’FBI voleva che Apple scrivesse un software che avrebbe permesso all’FBI di aggirare la protezione con password del telefono.
L’azienda, riconoscendo che accettare questa richiesta avrebbe potuto portare a sbloccare non solo il telefono del criminale ma anche quello di chiunque altro, rifiutò. L’FBI fece marcia indietro e finì per hackerare il dispositivo con un aiuto esterno, sfruttando le vulnerabilità del software, e Apple mantenne la sua reputazione di azienda che combatte per i diritti dei suoi clienti.
Tuttavia, la storia non è così semplice. Apple aveva consegnato una copia dei dati di iCloud. Infatti, l’azienda ha accesso praticamente a tutti i dati degli utenti caricati sul cloud. Alcuni, come le password di Keychain e le informazioni di pagamento, sono memorizzati utilizzando la cifratura end-to-end, ma la maggior parte delle informazioni sono cifrate solo per la protezione dall’accesso non autorizzato, cioè, da un hackeraggio dei server dell’azienda. Ciò significa che l’azienda può decifrare i dati.
Le eventuali implicazioni sono forse il colpo di scena più interessante nella storia del sistema di rilevamento CSAM. L’azienda potrebbe, per esempio, semplicemente scansionare tutte le immagini in iCloud Photos (come fanno Facebook, Google e molti altri fornitori di servizi su cloud). Apple ha creato un meccanismo più elegante che l’avrebbe aiutata a respingere le accuse di sorveglianza di massa degli utenti, ma invece ha attirato ancora più critiche, per via della scansione dei dispositivi degli utenti.
In definitiva, tutto questo clamore alla fine non cambia quasi nulla per l’utente medio. Se siete preoccupati per la protezione dei vostri dati, dovreste guardare qualsiasi servizio cloud con un occhio critico. I dati che memorizzate solo sul vostro dispositivo sono ancora al sicuro. Le recenti azioni di Apple hanno seminato dubbi fondati: se l’azienda continuerà su questa linea rimane una questione aperta.