Apple will mit iPadOS 15 und iOS 15 eine neue Funktion einführen, mit der die Foto-Bibliothek von iPad- und iPhone-Nutzern auf kinderpornografisches Material ("Child Sexual Abuse Material", kurz CSAM) untersucht werden kann, um die Inhalte dann den zuständigen Behörden zu melden. Sicherheitsforscher fürchten, dass die Funktion zu weitreichend ist und künftig auch auf verschlüsselte Inhalte auf den Geräten angewendet werden könnte – ein weiteres neues Feature bestätigte letztere Vermutung.
Das geplante Scanning auf fremden Geräten wird in einem White Paperbeschrieben, das Apple Donnerstagabend veröffentlicht hat. Der Konzern betont, die CSAM-Detektierung sei so vorgesehen, dass bei ihr "die Nutzerprivatsphäre im Blick" bleibe. Doch genau dies ruft Kritik hervor: Statt die Inhalte direkt in der Cloud – also auf den eigenen Servern – zu scannen, wie dies etwa Google, Twitter, Facebook oder Microsoft tun, will Apple ein On-Device-Scanning vornehmen, die Inhalte also direkt auf dem Gerät des Nutzers überprüfen.
Die Dateien werden mit einer Datenbank bekannter Hashwerte von CSAM-Inhalten, die das US-Non-Profit National Center for Missing and Exploited Children (NCMEC) sammelt, abgeglichen. Apple nutzt allerdings eine eigene Methode namens "NeuroHash", die laut dem White Paper nicht nur eindeutige Treffer, sondern auch "nahezu identische" Aufnahmen finden können soll, die sich in Größe oder Kompressionsqualität vom Original unterscheiden.
Die NeuroHash-Überprüfung erfolgt jeweils vor dem Upload in die iCloud. Dabei stellt sich die Frage, wo das Bild jeweils herkommt – üblicherweise werden nur neue Bilder, die mit dem iPhone gerade aufgenommen werden, hochgeladen. Bei minderjährigen Nutzern möchte Apple sogar deren iMessage-Inhalte scannen (siehe unten).
Der Grenzwert soll die Wahrscheinlichkeit für inkorrekte Einstufung eines Kunden als Kinderpornobesitzer "extrem niedrig" halten. Außerdem untersucht Apple jeden Treffer des Systems manuell, um zu bestätigen, dass es einen Treffer gibt. Dann wird der Account gesperrt und ein Bericht an das NCMEC geschickt, das wiederum die Behörden informiert. "Wenn ein Nutzer das Gefühl hat, dass sein Account ungerechtfertigterweise markiert wurde, kann er eine Beschwerde einreichen, um ihn wieder freigeben zu lassen."
Der Kryptografie-Professor Matthew Green von der Johns Hopkins University in Baltimore, der auf Twitter frühzeitig auf Apples Pläne aufmerksam gemachthatte, befürchtet, dass Apples Infrastruktur später missbraucht werden könne – etwa zum Scanning von aktuell Ende-zu-Ende-verschlüsselten Inhalten auf dem Gerät wie iMessages. "Apple würde etwas so komplexes und kompliziertes nicht bauen, wenn sie keine anderen Verwendungszwecke dafür hätten", sagte er gegenüber Mac & i.
"Die haben ja schon perfekt funktionierende Scanning-Systeme auf Serverseite." Zudem sieht er Probleme mit Fehltreffern, denn bekanntermaßen ist es möglich, mit Hilfe von KI-Systemen Hash-Kollisionen zu verursachen – auch mit Bildern, die gar nichts mit Kindesmissbrauch zu tun haben. So wären dann auch neue Angriffsformen und Erpressungsversuche denkbar.
Das System soll entsprechende Bilder zunächst verschwommen darstellen, dann erfolgt eine Warnung in Verbindung mit "hilfreichen Ressourcen", die etwa bei Missbrauch helfen sollen. Schaut ein Kind das Bild tatsächlich an respektive sendet es es ab, erhalten die Eltern eine automatische Warnung. Aktivierbar ist die Funktion bei iCloud-Familien-Accounts. Sie soll auch Teil von macOS 12 alias Monterey sein.
NSA-Whistleblower Edward Snowden kommentierte Apples neues Feature auf Twitter mit den Worten, der Konzern wolle "das iPhone so modifizieren, dass es ständig auf Bannware scannt". Ross Anderson, Professor für Security Engineering in Cambridge, hält Apples Plan unterdessen für eine "schreckliche Idee". Damit beginne die verteilte Massenüberwachung "unserer Telefone und Laptops", sagte er.
Auch Green fürchtet, dass die Technik in falsche Hände fallen könnte und Apples Argument des Privatsphärenschutzes nicht zieht. "Es ist so, als ob man mit einem Elektroauto zu einem Ort fährt, an dem man ein Großfeuer anzündet – und dann sagt man, man sei ja klimafreundlich unterwegs."
Quelle: heise
Das geplante Scanning auf fremden Geräten wird in einem White Paperbeschrieben, das Apple Donnerstagabend veröffentlicht hat. Der Konzern betont, die CSAM-Detektierung sei so vorgesehen, dass bei ihr "die Nutzerprivatsphäre im Blick" bleibe. Doch genau dies ruft Kritik hervor: Statt die Inhalte direkt in der Cloud – also auf den eigenen Servern – zu scannen, wie dies etwa Google, Twitter, Facebook oder Microsoft tun, will Apple ein On-Device-Scanning vornehmen, die Inhalte also direkt auf dem Gerät des Nutzers überprüfen.
Die Dateien werden mit einer Datenbank bekannter Hashwerte von CSAM-Inhalten, die das US-Non-Profit National Center for Missing and Exploited Children (NCMEC) sammelt, abgeglichen. Apple nutzt allerdings eine eigene Methode namens "NeuroHash", die laut dem White Paper nicht nur eindeutige Treffer, sondern auch "nahezu identische" Aufnahmen finden können soll, die sich in Größe oder Kompressionsqualität vom Original unterscheiden.
Die NeuroHash-Überprüfung erfolgt jeweils vor dem Upload in die iCloud. Dabei stellt sich die Frage, wo das Bild jeweils herkommt – üblicherweise werden nur neue Bilder, die mit dem iPhone gerade aufgenommen werden, hochgeladen. Bei minderjährigen Nutzern möchte Apple sogar deren iMessage-Inhalte scannen (siehe unten).
Treffer und Grenzwerte
Gibt es einen Treffer bei der lokalen Suche, wird das Bild mit einem kryptografischen Flag versehen ("Safety Voucher") und hochgeladen – samt einiger Metadaten. Diese Flags möchte Apple selbst zunächst nicht entschlüsseln. Nur wenn ein bestimmter "Grenzwert bekannten CSAM-Materials" überschritten wird, erfolgt eine Meldung an den Konzern, der den Safety Voucher dann entschlüsseln darf. Wie genau der Schwellenwert zustandekommt, sagt Apple nicht.Der Grenzwert soll die Wahrscheinlichkeit für inkorrekte Einstufung eines Kunden als Kinderpornobesitzer "extrem niedrig" halten. Außerdem untersucht Apple jeden Treffer des Systems manuell, um zu bestätigen, dass es einen Treffer gibt. Dann wird der Account gesperrt und ein Bericht an das NCMEC geschickt, das wiederum die Behörden informiert. "Wenn ein Nutzer das Gefühl hat, dass sein Account ungerechtfertigterweise markiert wurde, kann er eine Beschwerde einreichen, um ihn wieder freigeben zu lassen."
Der Kryptografie-Professor Matthew Green von der Johns Hopkins University in Baltimore, der auf Twitter frühzeitig auf Apples Pläne aufmerksam gemachthatte, befürchtet, dass Apples Infrastruktur später missbraucht werden könne – etwa zum Scanning von aktuell Ende-zu-Ende-verschlüsselten Inhalten auf dem Gerät wie iMessages. "Apple würde etwas so komplexes und kompliziertes nicht bauen, wenn sie keine anderen Verwendungszwecke dafür hätten", sagte er gegenüber Mac & i.
"Die haben ja schon perfekt funktionierende Scanning-Systeme auf Serverseite." Zudem sieht er Probleme mit Fehltreffern, denn bekanntermaßen ist es möglich, mit Hilfe von KI-Systemen Hash-Kollisionen zu verursachen – auch mit Bildern, die gar nichts mit Kindesmissbrauch zu tun haben. So wären dann auch neue Angriffsformen und Erpressungsversuche denkbar.
iMessage-Inhalte auf Nacktbilder scannen
Tatsächlich scheint sich Greens Befürchtung zu bewahrheiten, was das Scannen verschlüsseltee Inhalte betrifft. Allerdings nur bei Apple-ID-Accounts von Kindern. Neben der neuen CSAM-Scanning-Funktion kündigt der iPhone-Hersteller nämlich neue "erweiterte Schutzmaßnahmen für Kinder" an. Diese umfassen das lokale Scannen von Bildern in iMessage, "um Kinder und ihre Eltern zu warnen", wenn die Kleinen "sexuell explizite Fotos erhalten oder versenden".NSA-Whistleblower Edward Snowden kommentierte Apples neues Feature auf Twitter mit den Worten, der Konzern wolle "das iPhone so modifizieren, dass es ständig auf Bannware scannt". Ross Anderson, Professor für Security Engineering in Cambridge, hält Apples Plan unterdessen für eine "schreckliche Idee". Damit beginne die verteilte Massenüberwachung "unserer Telefone und Laptops", sagte er.
Auch Green fürchtet, dass die Technik in falsche Hände fallen könnte und Apples Argument des Privatsphärenschutzes nicht zieht. "Es ist so, als ob man mit einem Elektroauto zu einem Ort fährt, an dem man ein Großfeuer anzündet – und dann sagt man, man sei ja klimafreundlich unterwegs."
Quelle: heise