»Fuck Apple!«: Privacyfolk rødglødende efter Apples beslutning om at omgå kryptering – for børnenes skyld

Illustration: Apple
Et nyt system til at opdage nøgenbilleder af børn skal scanne indhold på iphones før det krypteres. Privatlivs-fortalere protesterer.

Krypteringen i cloud-tjenesten iCloud og i beskedtjenesten iMessages betyder, at Apple ikke uden videre kan lede efter kendt børneporno i beskeder og arkiver hos brugerne.

Det vil selskabet nu omgå ved at scanne brugernes enheder for kendt børneporno fra et bibliotek over materiale, der er identificeret som sådan. Samtidig skal systemet advare brugere, der søger efter børneporno og endelig vil Apple anmelde indehavere af børneporno direkte til politiet. Det skriver Apple i en meddelelse. Systemet skal fungere ved at sammenligne såkaldte hashes af kendt børneporno med brugerens billeder, så selve biblioteket ikke skal ligge på brugerens telefon.

Derudover vil Apple advare børn og deres forældre, når børnene modtager nøgenbilleder.

De nye funktioner udrulles med næste version af iOS og iPadOS og vil gælde brugere i USA, oplyser Apple.

»En bagdør til dit privatliv«

Teknologien vil udnytte såkaldt Client Side Scanning, der kører på brugerens enhed fremfor på Apples server, hvormed Apple stadig kan bryste sig af, at filerne er krypterede i iCloud og at iMessage kan være end-to-end-krypteret – altså krypteret hele vejen fra afsenderens telefon til modtagerens.

Den amerikanske privtlivsorganisation Electronic Frontier Foundation (EFF) lægger i en meddelelse ikke skjul på sin skuffelse over det, organisationen kalder »en bagdør ind i dit privatliv«.

Organisationen lægger særligt vægt på, at når teknologien til at kigge i beskeder før de er sendt og scanne billeder før de er uploadet, er til stede, kan den misbruges.

»Det eneste, der skal til for at udvide den snævre bagdør, som Apple er ved at bygge, er en udvidelse af de maskinlæringens parametre til at lede efter flere typer indhold eller en justering af konfigurationen til at scanne ikke kun børns, men alle personers konti. Det er ikke en glidebane; det er et fuldt udbygget system, der bare venter på eksternt pres for at foretage den mindste ændring,« skriver EFF i sin meddelelse.

Eller som EFFs direktør for cybersikkerhed Eva Galperin opsummerer det på Twitter.

»Højere, til dem der sidder bagved: Det er umuligt at opbygge et scanningssystem på klientsiden, som kun kan bruges til seksuelt eksplicitte billeder, der sendes eller modtages af børn.«

Endnu færre fingre bliver der lagt imellem hos sikkerhedsfolk på twitter. Den danske sikkerhedskonsulent Henrik Kramselund skriver eksempelvis ganske enkelt »Fuck Apple. Fuck dem 1000 gange.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jakob Steen-Petersen

Andre medier skriver at backup og iCloud ikke er krypteret og det vil Apple benytte sig af ved mistanke? V2 skriver at filerne er krypteret?

Hvad er korrekt? Og betyder dette, at Apple reelt har muligheden for at sidde “på bagsiden” af iCloud og kigge i billeder etc?

  • 2
  • 0
#2 Bjarne Nielsen

En hurtig søgning på nettet gav flg. links (det første fører til det næste):

https://blog.elcomsoft.com/2021/01/apple-scraps-end-to-end-encryption-of... https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT

En hurtig skrålæsning giver flg.:

  • broderparten af data er krypteret at rest, og spredt ud over diverse storageproviders
  • det kræver kendskab iCloud kontoen at dekryptere
  • Apple har denne viden, og udleverer den gerne til amerikanske myndigheder sammen med de kryptede stumper
  • der findes endnu et niveau af data, som betragtes som særligt følsomme, og derfor krypteret på anden vis, hvor Apple ikke umiddelbart har nøglen (de kunne på relativt overkommelig vis antageligt bruteforce nøglen, men det vil de ikke) - det er f.eks. gemte passwords (iCloud KeyChain), som håndteres på denne vis.
  • Apple kunne gøre det bedre, men alle initiativer i den retning er stille blevet lagt i graven, angiveligt på opfordring af amerikanske myndigheder

Tilsæt selv skepsis/nærlæsning/yderligere info/andre kilder - jeg har egentlig ikke interesseret mig for dette, før for 5 minutter siden, så der er god plads til misforståelser. Men det kan være en start?

Så ja, data er krypteret, og ja, Apple kan, hvis de vil, udlevere data + nøgler - eller bare udvalgte data i ukrypteret form, som beskrevet i diverse artikler Apples nyeste initiativ. Det kan ske uden at involvere dig eller din device, så det kan ske 100% bag ryggen af dig, på den anden side af Atlanten.

Måske er det på tide at få amerikanerne, og deres fikse og klamme ideer, ud af vores IT?

  • 12
  • 1
#3 Bjarne Nielsen

For at svare @kramse og hans retoriske spørgsmål (han er nok ligeglad, og I andre får ikke noget valg ... :-) ), så kommer man ikke til at se min iPhone på BornHack - for jeg kommer slet ikke forbi BornHack (det er jeg overhovedet ikke hverken vidende eller udadvendt nok til).

Men jeg beholder min iPhone.

Dels fordi at det er tæt på umuligt at være dansker uden at have et statsautoriseret spion-device til alle disse apps, som angiveligt er løsningen på alle problemer i dagens Danmark ... også for de omkring 1 ud af 5 danskere, som siges at være "digitalt udsatte" jfr. KL og Digitaliseringsstyrelsen. For du vil vel gerne være med i klubben, ikke Mulle? Værsgo, et stk skovsnegl at sluge (og du betaler selv!).

Dels fordi at ud af alle de statsautoriserede spion-brikker, så er iPhone stadig det mindst ringe (desværre også i den dyre ende, men jeg er heldig nok til at have råd).

Dels fordi at jeg aldrig rigtigt har stolet på den, og det derfor er begrænset, hvad jeg bruger den til - den kommer kun i sving, når det er uundgåeligt og der ikke er bedre alternativer (hvad der efterhånden alt for ofte ikke er).

  • 8
  • 3
#5 Thomas Rasmussen

V2 taler først om brugerens enhed, dernæst om iMessage og iCloud. Altså, hvad er det lige, der scannes hvor, og med hvilken konsekvens?

Jeg savner en tydeligere forklaring på, om det er lokalt bibliotek eller cloud-forsendelser, der scannes. Teknologisk er det vildt interessant. Så kan vi bagefter tale om privacy — i øvrigt en saga blot de seneste mindst 20 år.

  • 2
  • 1
#6 Michael Cederberg

Det synes efterhånden ganske klart at vi har brug for en form for hypervisor til mobiltelefoner. Så længe Google og Apple sidder på operativsystemet vil vi stå i denne situation hvor det i praksis er amerikansk lov der styrer hvad der sker på vores devices.

Med et hyperviser der kan sikre at jeg kan køre hele google suiten inkl. google services på en del af min telelfon, uden at samme har adgang til hele telefonen er vi kommet langt.

I øvrigt er det interessant at vi endnu en gang har en situation hvor data godt nok er krypteret men hvor opbevaring af nøgler giver problemer.

  • 7
  • 1
#7 Ditlev Petersen

Teknologien vil udnytte såkaldt Client Side Scanning, der kører på brugerens enhed fremfor på Apples server, hvormed Apple stadig kan bryste sig af, at filerne er krypterede i iCloud og at iMessage kan være end-to-end-krypteret

Ud over at spekulere over, hvad de vil sammenligne med og hvordan, så er der da godt nok en del trafik og brug af telefonens batteri. Og hvor man før har haft mistanker om bagdøre og huller, så har man nu garanti for, at der er en bagdør, som kan bruges til alt, hvad man kan ønske sig (hvis man roder med efterretningstjenester) og mere til.

Derudover vil Apple advare børn og deres forældre, når børnene modtager nøgenbilleder.

Det skal nok blive en succes. Sidste gang var det billeder af svin (altså suidae) og seksualundervisning, der blev blokeret. Jeg tør slet ikke tænke på, hvis nogen studerer klassisk kunst. Uhadadada!

  • 8
  • 0
#8 Bjarne Nielsen

Jeg savner en tydeligere forklaring på, om det er lokalt bibliotek eller cloud-forsendelser, der scannes.

Læs f.eks. den artikel fra EFF, som linkes ca. midt i artiklen:

One is a scanning feature that will scan all photos as they get uploaded into iCloud Photos ...

The other feature scans all iMessage images sent or received by child accounts ... for sexually explicit material ...

Mon ikke f.eks. Kina står klar i kulissen for at få kigget efter henvisninger til paraplyer eller Peter Plys. Apple har ikke rigtigt nogle undskyldninger tilbage om, at det bliver vanskeligt eller kræver specialtilretninger.

  • 7
  • 0
#9 Rune Hansen

Har nok inderst inde vidst at privacy på Apple var på lånt tid (forventede dog at det ville holde Tim Cook’s tid ud, efter alle hans tidligere udtalelser.

Nu kan tilliden ikke returneres, bare det at lufte disse tanker ville være nok at klassificere Apple som en af de mest problematiske aktører på linje med Huawai.

Mine anbefalinger for Apple over for venner og familie er definitivt blokkeret og det kan næppe ændres. Skifter selv inden for den nærmeste fremtid til CalyxOS på en Pixel phone købt kontant (har også overvejet GrapheneOS men det er nok overkill, privacy vise).

Har også overvejet SailfishOS, lineageOS, Ubuntu-touch (elsker Ubuntu, men det virker bare ikke færdigudviklet nok til mig). Så hvis der er nogen der har nogle anbefalinger her, til et hverdags OS med fokus på privacy og sikkerhed er det velkommen.

Overvejer desuden to telefoner en med lir i form af kørekort, betaling osv. samt en sekundær med taletidskort, Keybase, Signal, Telegram, burner-mails (Gmail), samt andre burners som sociale medier og andre kontoer.

  • 6
  • 2
#10 Mikael Ibsen

af det, der rører sig i den grå uhomogene masse, kalder befolkningen, folket - de indfødte. Den masse, som i det daglige kun er til irritation og ulejlighed for magthaverne, og først får interesse, når valgdagen nærmer sig.

Og jo mere magthaver ved om massens prioriteter, jo bedre kan et valg, og de tilhørende manipulationsteknikker tilrettelægges og tilpasses - altså i de lande, der har en demokratisk tilgang til opgørelsen af valgets resultat.

Og dér var det forresten lige ved, at der for nylig var et de større af slagsen, der var ved at forsvinde…

I andre er det jo forlængst helt forsvundet.

Men spørgsmålet er efterhånden, om al den viden, der indsamles, helt ned på individniveau, fodret ind i tilpasset AI til uigennemskuelig manipulation, ikke nærmer sig noget, der kan betegnes tilløb til digitalt diktatur ?

  • 7
  • 0
#11 Sergej Roswall Bogachov

Der står at de vil sammenligne med hashes af kendt ulovlig materiale. Antaget at hash-funktionen de bruger er ok, så er chancen for kolission utroligt lille. Så jeg tror ikke at man skal være bange for misklassificeringer lige i dette tilfælde.

  • 0
  • 4
#13 Rune Hansen

Så om du tager billeder af dine børn i deres nye pool vil ikke kollidere med den hash der fremkommer hvis din nabo gør det?!

En hvert firma der udnytter børnekrænkelses eller terror argumentet for at indfører ny teknologi, gør det udelukkende i et forsøg på at afvæbne all kritik. Det har intet med børn at gøre, hvis det var tilfældet ville der være mange apps der slet ikke ville nå AppStore.

  • 9
  • 0
#14 Søren Skaarup

Ikke at forklejne de reelle og principielle bekymringer man kan have ved det Apple er i gang med, så er det så mange misforståelser i medierne om hvad det så rent faktisk er, nogle af dem også gengivet her, at det hele er ved at blive lidt tåget. Må jeg forslå læsning af denne udmærkede redegørelser fra John Gruber / Daring Fireball: https://daringfireball.net/2021/08/apple_child_safety_initiatives_slippe...

  • 2
  • 0
#16 Rune Gent

“The road to hell is paved with good intentions”. Sjældent har det passet bedre. For at beskytte mod børneporno, installere man fra Apples side infrastrukturen til at totalovervåge din telefon.

Hvordan reagerer Apple, når den Kinesiske regering vil have scannet for «trigger-words» brugt af dissidenter? Hvordan med er det terrorbekæmpelseskrav fra US/EU? Eller var det ikke på tide, vi fik gjort op med de trælse anti-vax’er typer?

Motiverne er, måske, ædle. Det ændrer ikke på, at slutresultatet er et diktaturs våde drøm.

Jeg er færdig med Apple, hvis de ikke stopper. Jeg gætter på, at jeg ikke er den eneste.

  • 7
  • 0
#17 Bjarne Nielsen

Antaget at hash-funktionen de bruger er ok, så er chancen for kolission utroligt lille.

Ahem, "hash-funktion" kan give nogle forkerte associationer her. Der er tale om hashing, iom. at der mappes fra et stort imputrum til et lille outputrum.

Men ved checksummer og kryptografiske hashes (som vel nok er det, som vi er vant til at omtale som "hash-funktioner"), så tilstræbes det at punkter i inputrummet, som ligger tæt, vil få meget variabel spredning i outputrummet.

Men her er der i stedet tale om semantisk hashing, så man tilstræber tværimod at input som ligger tæt, resulterer i output som ligger tilsvarende tæt.

Hvor vi med en "klassisk" hash tilstræber, at input, som næsten er ens, med stor sandsynlighed ikke vil få samme hash (eller næsten ens hashes), så vil vi netop tilstræbe at en sematisk hash er robust overfor små variationer i input og kommer frem til samme hash (eller næsten samme hash). Kollisioner er mao. ikke bug, det er en feature!

Det er der som udgangspunkt ikke noget forkert i, men det betyder, at vi ikke kan overføre den intuition, som vi har for checksummer eller de sikkerhedsgarantier, som vi forventer af en kryptografisk hash, direkte til semantiske hashes. En sematisk hash er fundamentalt anderledes end checksumme og kryptografiske hashes (omend begge kan bruges til f.eks. indeksering).

  • 9
  • 0
#18 Bjarne Nielsen

Ikke at forklejne de reelle og principielle bekymringer man kan have ved det Apple er i gang med, så er det så mange misforståelser i medierne om hvad det så rent faktisk er ...

Det bliver ikke nemmere af, at man har lavet et kinder-æg: der er ikke kun tale om en ting, der er tale om flere ting.

Den faktisk implementation kan være nok så fin (og jeg tvivler sådan set heller ikke på, at det nok skal være et ganske hæderligt forsøg), men de principielle bekymringer går i høj grad på, at man flytter sig fra kan til vil.

Hvor Apple førhen kunne sige, at de (med det design de nu engang havde) ikke kunne lede efter særligt indhold, så har de nu gjort det muligt for arbitrært indhold, men de vil kun, hvis der er tale om angiveligt børneporno (eller seksual eksplicit kommunikation til/fra/imellem mindre-årige).

Så når nogen kommer med fikse ideer (f.eks. ophavsretsbeskyttelse eller klapjagt på whistleblowers eller dissidenter), så vil svaret ikke længere være "det kan vi ikke", men derimod "det vil vi ikke". Det er en betydeligt svagere position. Det bekymrer mig helt princippelt.

  • 16
  • 0
#19 Peter Stricker
  • 1
  • 0
#20 Bjarne Nielsen

Tak for en rigtig god forklaring på en særdeles vigtig forskel.

Tomas Loft kom i en anden debat her på V2 med flg. kilde, som går endnu videre:

Perhaps there is a reason that they don't want really technical people looking at PhotoDNA. Microsoft says that the "PhotoDNA hash is not reversible". That's not true. PhotoDNA hashes can be projected into a 26x26 grayscale image that is only a little blurry. 26x26 is larger than most desktop icons; it's enough detail to recognize people and objects. Reversing a PhotoDNA hash is no more complicated than solving a 26x26 Sudoku puzzle; a task well-suited for computers.

Jeg havde godt bemærket, at man holdt kortene meget tæt til kroppen, men jeg troede egentlig at det mere var for ikke at give modparten et orakel til, hvor store ændringer der skulle til, for at gå under radaren igen.

  • 2
  • 0
#22 Max Andersen

Valget står i mellem at hjælpe børn med at stoppe aktivt pædofili og imellem et potentielt misbrug af en elektronisk enhed. (Er der ikke allerede ansigtsgenkendelse i iPhone, samt sortering af billeder baseret på ansigt?)

Der er nævnt søgninger efter kendte billeder, så det kunne være filhashes og ikke AI på eksisterende billeder der kunne være tale om?

Jeg har valgt iPhone og de pædofile vælger så noget andet.

  • 0
  • 9
#25 Henrik Eriksen

Valget står i mellem at hjælpe børn med at stoppe aktivt pædofili og imellem et potentielt misbrug af en elektronisk enhed.

Ethvert overvågningstiltag kan altid forsvares ved at hive nogle af de magiske minus-ord op af hatten: Terrorisme, producenter og spredere af børneporno, og spiritusbilister er de foretrukne vindere for tiden.

Alle som er imod at blive overvåget 24/7 tilhører tydeligvis et af, hvis ikke alle, disse segmenter. Og hvem vil slås i hartkorn med disse typer?

Problemet er jo dybest set, at jo mindre overvågning, jo bedre vilkår for kriminelle. Dét kan man vist ikke diskutere imod.

Jeg vil holde på, at for den almindelige borger med rent mel i posen, er det meste af den overvågning der foregår i dag temmelig harmløs. Det værste jeg selv oplever er, at få vist talløse reklamer for et legosæt jeg allerede har købt til min søns fødselsdag.

Men jeg mener også, at overvågningens udbredelse skal stoppes her. Sandheden er at vi alle går og 'bryder loven' jævnligt: Smutter over for gult kl. 2:15 om natten et sted, krydser vejen fem meter fra en fodgængerovergang, cykler hjem uden lys i baglygten fordi jeg ikke vil bruge en time på at trække cyklen hjem, når jeg kan komme hjem på ti minutter ved at cykle.

Eksemplerne er mange, og jeg ser en fremtid hvor man hver dag kommer hjem til en stak bøder for de småforseelser man nu havde uheld til at begå siden man stod op i morges.

Og så vil jeg slet ikke tænke på hvad totalitære regimer med diskriminerende og/eller kontroversielle politikker omkring ytringsfrihed kan finde på at bruge alle disse data til.

  • 4
  • 0
Log ind eller Opret konto for at kommentere