Poco después de los informes acerca del escaneo que Apple comenzará a realizar en los iPhones en busca de imágenes de abuso infantil, la compañía confirmó su plan y proporcionó detalles en un comunicado de prensa y un resumen técnico.
“El método de Apple para detectar CSAM (material de abuso sexual infantil) conocido está diseñado teniendo en cuenta la privacidad del usuario”, dijo el anuncio de Apple. “En lugar de escanear imágenes en la nube, el sistema realiza una comparación en el dispositivo utilizando una base de datos de hashes de imágenes CSAM conocidas proporcionadas por el NCMEC (Centro Nacional para Niños Desaparecidos y Explotados) y otras organizaciones de seguridad infantil. Apple transforma aún más esta base de datos en un conjunto de hashes ilegibles que se almacenan de forma segura en los dispositivos de los usuarios “.
Apple brindó más detalles sobre el sistema de detección CSAM en un resumen técnico y dijo que su sistema usa un umbral “establecido para proporcionar un nivel extremadamente alto de precisión y asegura menos de uno en un billón de posibilidades por año de marcar incorrectamente una cuenta determinada”.
Los cambios se implementarán “a finales de este año en actualizaciones para iOS 15, iPadOS 15, watchOS 8 y macOS Monterey”, menciono el fabricante. También implementará un software que puede analizar imágenes en la aplicación “Messages” esto con el fin de ejecutar un nuevo sistema que “advertirá a los niños y sus padres cuando reciban o envíen fotos sexualmente explícitas”.
Apple acusado de construir “infraestructura para vigilancia”
A pesar de las garantías que el fabricante proporciona, los expertos en seguridad y defensores de la privacidad criticaron el plan.
“Apple está reemplazando su sistema de mensajería cifrada de extremo a extremo estándar de la industria con una infraestructura de vigilancia y censura, que será vulnerable al abuso y al alcance no solo en los EE. UU., Sino en todo el mundo”, dijo Greg Nojeim. codirector del Proyecto de Vigilancia y Seguridad del Centro para la Democracia y la Tecnología. “Apple debería abandonar estos cambios y restaurar la fe de sus usuarios en la seguridad e integridad de sus datos en los dispositivos y servicios de Apple”.
Durante años, Apple ha resistido la presión del gobierno de Estados Unidos para instalar una “puerta trasera” en sus sistemas de cifrado, diciendo que hacerlo socavaría la seguridad de todos los usuarios. Esta postura ha sido elogiada por los expertos en seguridad. Pero con su plan para implementar software que realiza escaneos en el dispositivo y compartir resultados seleccionados con las autoridades, Apple está peligrosamente cerca de actuar como una herramienta para la vigilancia gubernamental, sugirió el profesor de criptografía de la Universidad Johns Hopkins, Matthew Green, en Twitter.
El escaneo del lado del cliente que Apple anunció hoy podría eventualmente “ser un ingrediente clave para agregar vigilancia a los sistemas de mensajería cifrada”, escribió. “La capacidad de agregar sistemas de escaneo como este a los sistemas de mensajería E2E [cifrados de extremo a extremo] ha sido una importante ‘pregunta’ por parte de las fuerzas del orden en todo el mundo”.
Escaneo de mensajes e “intervención” de Siri
Además de escanear dispositivos en busca de imágenes que coincidan con la base de datos CSAM, Apple dijo que actualizará la aplicación “Messages” para “agregar nuevas herramientas que advertirán a los niños y a sus padres cuando reciban o envíen fotos sexualmente explícitas”.
“Messages utiliza “machine learning” en el dispositivo para analizar los archivos adjuntos de imágenes y determinar si una foto es sexualmente explícita. La función está diseñada para que no tengamos acceso a los mensajes”, dijo Apple.
Cuando se marca una imagen en “Messages”, “la foto se verá borrosa y se advertirá al niño, se le presentarán recursos útiles y se le asegurará que está bien si no quiere ver esta imagen”. El sistema permitirá que los padres reciban un mensaje si los niños ven una foto marcada, y “hay protecciones similares disponibles si un niño intenta enviar fotos sexualmente explícitas. Se advertirá al niño antes de que se envíe la foto y los padres pueden recibir un mensaje si el niño elige enviarla”, dijo Apple.
La gran manzana dijo que actualizará “Siri” y “Search” para “brindar a padres e hijos información ampliada y ayuda si se encuentran en situaciones inseguras”. Los sistemas “Siri” y “Search” “intervendrán cuando los usuarios realicen búsquedas de consultas relacionadas con CSAM” y “explicarán a los usuarios que el interés en este tema es dañino y problemático, además proporcionarán recursos de socios tecnológicos para obtener ayuda con este problema”.
El Centro para la Democracia y la Tecnología calificó el escaneo de fotos en “Messages” como una “puerta trasera”, escribiendo:
El mecanismo que permitirá a Apple escanear imágenes en “Messages” no es una alternativa a una puerta trasera, es una puerta trasera. El escaneo del lado del cliente en un “extremo” de la comunicación rompe la seguridad de la transmisión e informar a un tercero (el padre) sobre el contenido de la comunicación socava su privacidad. Las organizaciones de todo el mundo han advertido contra el escaneo del lado del cliente porque podría usarse como una forma para que los gobiernos y las empresas controlen el contenido de las comunicaciones privadas.
La tecnología de Apple para analizar imágenes
El resumen técnico de Apple sobre la detección de CSAM incluye pocas promesas de privacidad en la introducción. “Apple no aprende nada sobre las imágenes que no coinciden con la base de datos CSAM conocida”, dice. “Apple no puede acceder a metadatos o derivados visuales para imágenes CSAM coincidentes hasta que se exceda un umbral de coincidencias para una cuenta de iCloud Photos”.
La tecnología hash de Apple se llama NeuralHash y “analiza una imagen y la convierte en un número único específico para esa imagen. Solo otra imagen que parezca casi idéntica puede producir el mismo número; por ejemplo, las imágenes que difieren en tamaño o calidad trans codificada todavía tienen el mismo valor de NeuralHash “, escribió Apple.
Antes de que un iPhone u otro dispositivo Apple cargue una imagen en iCloud, el dispositivo crea un “voucher” de seguridad criptográfico que codifica el resultado de la coincidencia. También cifra el NeuralHash de la imagen y un derivado visual. Este “voucher” se carga en iCloud Photos junto con la imagen. ”
Utilizando el “umbral para compartir secretos”, el sistema de Apple asegura que el contenido de los “vouchers” de seguridad no pueda ser interpretado por Apple a menos que la cuenta de iCloud Photos cruce un umbral de contenido CSAM conocido “, dice el documento. “Sólo cuando se excede el umbral, la tecnología criptográfica permite a Apple interpretar el contenido de los “vouchers” de seguridad asociados con las imágenes CSAM coincidentes”.
Si bien señaló la probabilidad 1 en 1 billón de un falso positivo, Apple dijo que “revisa manualmente todos los informes hechos al NCMEC para garantizar la precisión de los informes”. Los usuarios pueden “presentar una apelación para que se restablezca su cuenta” si creen que su cuenta se marcó por error.
Dispositivos de usuario para almacenar la base de datos ciega de CSAM
Los dispositivos de usuario almacenarán una “base de datos ciega” que le permite al dispositivo determinar cuándo una foto coincide con una imagen en la base de datos CSAM, explicó Apple:
Primero, Apple recibe los NeuralHashes correspondientes a CSAM conocido de las organizaciones de seguridad infantil mencionadas anteriormente. A continuación, estos NeuralHashes pasan por una serie de transformaciones que incluyen un paso de cegado final, impulsado por criptografía de curva elíptica. El cegado se realiza utilizando un secreto cegador del lado del servidor, conocido solo por Apple. Los hashes CSAM ciegos se colocan en una tabla hash, donde la posición en la tabla es puramente una función del NeuralHash de la imagen CSAM. Esta base de datos cegada se almacena de forma segura en los dispositivos de los usuarios. Las propiedades de la criptografía de curva elíptica garantizan que ningún dispositivo pueda inferir nada sobre los hashes de la imagen CSAM subyacente a partir de la base de datos cegada.
Un iPhone u otro dispositivo analizará las fotos de los usuarios, calculará un NeuralHash y buscará “la entrada en la tabla de hash cegada”. El dispositivo “también utiliza el hash ciego que el sistema buscó para obtener una clave de cifrado derivada” y utiliza esa clave de cifrado “para cifrar los datos de carga útil asociados”.
Combinado con otros pasos, esto asegura que solo se descifren las imágenes que coincidan con la base de datos CSAM, Apple escribió:
Si el hash de la imagen del usuario coincide con la entrada en la lista de hash CSAM conocida, entonces el NeuralHash de la imagen del usuario se transforma exactamente en el hash cegado si pasó por la serie de transformaciones realizadas en el momento de la configuración de la base de datos. Según esta propiedad, el servidor podrá utilizar el encabezado criptográfico (derivado del NeuralHash) y, utilizando el secreto del lado del servidor, podrá calcular la clave de cifrado derivada y descifrar con éxito los datos de carga útil asociados.
Si la imagen del usuario no coincide, el paso anterior no conducirá a la clave de cifrado derivada correcta y el servidor no podrá descifrar los datos de carga útil asociados. Por tanto, el servidor no aprende nada sobre las imágenes que no coinciden.
El dispositivo no aprende sobre el resultado de la coincidencia porque eso requiere conocimiento del secreto cegador del lado del servidor.
Finalmente, el cliente carga la imagen en el servidor junto con el comprobante que contiene los datos de carga útil cifrados y el encabezado criptográfico.
¿Qué opinas es o no un violación a tu privacidad el empleo de este algoritmo?
Fuente: John Brodkin (Ars Technica)