No início de agosto de 2021, a Apple revelou seu novo sistema para identificar fotos contendo imagens de abuso infantil. Embora os motivos da Apple – combater a disseminação de pornografia infantil – pareçam indiscutivelmente bem-intencionados, o anúncio foi imediatamente criticado.
A Apple há muito cultiva uma imagem de si mesma como fabricante de dispositivos que se preocupa com a privacidade do usuário. Os novos recursos previstos para iOS 15 e iPadOS 15 já afetaram seriamente essa reputação, mas a empresa não está recuando. Veja o que aconteceu e como isso afetará os usuários médios de iPhones e iPads.
O que é o CSAM Detection?
Os planos da Apple são descritos no site da empresa. A empresa desenvolveu um sistema chamado CSAM Detection, que pesquisa os dispositivos dos usuários em busca de “material de abuso sexual infantil”, também conhecido como CSAM (sigla em inglês).
Embora “pornografia infantil” seja sinônimo de CSAM, o Centro Nacional para Crianças Desaparecidas e Exploradas (NCMEC, sigla em inglês), que ajuda a encontrar e resgatar crianças desaparecidas e exploradas nos Estados Unidos, considera “CSAM” o termo mais apropriado. O NCMEC fornece à Apple e a outras empresas de tecnologia informações sobre imagens CSAM conhecidas.
A Apple introduziu o CSAM Detection junto com vários outros recursos que expandem os controles dos pais nos dispositivos móveis da Apple. Por exemplo, os pais receberão uma notificação se alguém enviar a seus filhos uma foto sexualmente explícita no aplicativo de iMessage da Apple.
A revelação simultânea de várias tecnologias resultou em alguma confusão, e muitas pessoas tiveram a sensação que a Apple iria monitorar todos os usuários o tempo todo. Esse não é o caso.
Cronograma de implementação do CSAM Detection
O CSAM Detection fará parte dos sistemas operacionais móveis iOS 15 e iPadOS 15, que estarão disponíveis para usuários de todos os iPhones e iPads atuais (iPhone 6S, iPad de quinta geração e posterior) neste outono. Embora a função esteja teoricamente disponível em dispositivos móveis da Apple em todo o mundo, por enquanto o sistema funcionará por completo apenas nos Estados Unidos.
Como o CSAM Detection funcionará
O CSAM Detection funciona apenas em conjunto com o iCloud Photos, que faz parte do serviço iCloud que carrega fotos de um smartphone ou tablet para servidores Apple. Também os torna acessíveis em outros dispositivos do usuário.
Se um usuário desativa a sincronização de fotos nas configurações, o CSAM Detection para de funcionar. Isso significa que as fotos são comparadas com as de bancos de dados criminais apenas na nuvem? Não exatamente. O sistema é deliberadamente complexo; A Apple está tentando garantir o nível necessário de privacidade.
Como explica a Apple, o CSAM Detection funciona escaneando fotos em um dispositivo para determinar se elas correspondem às fotos nos bancos de dados do NCMEC ou de outras organizações semelhantes.
O método de detecção usa a tecnologia NeuralHash, que basicamente cria identificadores digitais, ou hashes, para fotos com base em seu conteúdo. Se um hash corresponder a um no banco de dados de imagens de exploração infantil conhecidas, a imagem e seu hash serão carregados nos servidores da Apple. A Apple realiza outra verificação antes de registrar oficialmente a imagem.
Outro componente do sistema, a tecnologia criptográfica chamada interseção de conjuntos privados , criptografa os resultados da varredura do CSAM Detection de forma que a Apple possa descriptografá-los apenas se uma série de critérios forem atendidos. Em teoria, isso deve evitar que o sistema seja usado indevidamente – ou seja, deve impedir que um funcionário da empresa abuse do sistema ou entregue imagens a pedido de agências governamentais.
Em uma entrevista de 13 de agosto para o Wall Street Journal , Craig Federighi, vice-presidente sênior de engenharia de software da Apple, articulou que a principal proteção para o protocolo de interseção de conjuntos privados: para alertar a Apple, 30 fotos precisam corresponder às imagens no banco de dados NCMEC. Como mostra o diagrama abaixo, o sistema de interseção do conjunto privado não permitirá que o conjunto de dados – informações sobre a operação do CSAM Detection e as fotos – seja descriptografado até que esse limite seja atingido. De acordo com a Apple, como o limite para sinalizar uma imagem é tão alto, uma correspondência falsa é muito improvável – uma “chance em um trilhão”.
O que acontece quando o sistema é alertado? Um funcionário da Apple verifica os dados manualmente, confirma a presença de pornografia infantil e notifica as autoridades. Por enquanto o sistema funcionará integralmente apenas nos Estados Unidos, então a notificação irá para o NCMEC, que é patrocinado pelo Departamento de Justiça dos EUA.
Problemas com o CSAM Detection
As críticas potenciais às ações da Apple se enquadram em duas categorias: questionar a abordagem da empresa e examinar as vulnerabilidades do protocolo. No momento, há poucas evidências concretas de que a Apple cometeu um erro técnico (um problema que discutiremos em mais detalhes abaixo), embora não tenham faltado reclamações gerais.
Por exemplo, a Electronic Frontier Foundation descreveu esses problemas detalhadamente. De acordo com a EFF, ao adicionar o escaneamento de imagens ao usuário, a Apple está essencialmente embutindo uma “porta dos fundos” nos dispositivos dos usuários. A EFF critica o conceito desde 2019.
Por que isso é ruim? Bem, considere ter um dispositivo no qual os dados são completamente criptografados (como afirma a Apple) que então começa a relatar a terceiros sobre esse conteúdo. No momento, o alvo é a pornografia infantil, levando a um refrão comum: “Se você não está fazendo nada de errado, não tem com o que se preocupar”, mas enquanto esse mecanismo existir, não podemos saber se ele não funcionará ser aplicado a outro conteúdo.
Ultimamente, essa crítica é mais política do que tecnológica. O problema reside na ausência de um contrato social que equilibre segurança e privacidade. Todos nós, de burocratas, fabricantes de dispositivos e desenvolvedores de software a ativistas de direitos humanos e usuários comuns – estamos tentando definir esse equilíbrio agor
As agências de aplicação da lei reclamam que a criptografia generalizada complica a coleta de evidências e a captura de criminosos, e isso é compreensível. As preocupações com a vigilância digital em massa também são óbvias. Opiniões, incluindo opiniões sobre as políticas e ações da Apple, são um grão de areia no universo.
Problemas em potencial com a implementação do CSAM Detection
Assim que ultrapassarmos as preocupações éticas, chegaremos a alguns caminhos tecnológicos acidentados. Qualquer código de programa produz novas vulnerabilidades. Não importa o que os governos possam fazer; e se um cibercriminoso se aproveitasse das vulnerabilidades do CSAM Detection? Quando se trata de criptografia de dados, a preocupação é natural e válida: se você enfraquecer a proteção das informações, mesmo que seja apenas com boas intenções, qualquer pessoa pode explorar a fraqueza para outros fins.
Uma auditoria independente do código do CSAM Detection acabou de começar e pode levar muito tempo. No entanto, já aprendemos algumas coisas.
Primeiro, o código que torna possível comparar fotos com um “modelo” existe no iOS (e macOS) desde a versão 14.3. É perfeitamente possível que o código faça parte da detecção de CSAM. Utilitários para experimentar um algoritmo de busca para imagens correspondentes já encontraram algumas colisões. Por exemplo, de acordo com o algoritmo NeuralHash da Apple, as duas imagens abaixo têm o mesmo hash:
Se for possível retirar o banco de dados de hashes de fotos ilegais, é possível criar imagens “inocentes” que acionam um alerta, o que significa que a Apple poderia receber alertas falsos suficientes para tornar o CSAM Detection insustentável. É provavelmente por isso que a Apple separou a detecção, com parte do algoritmo funcionando apenas na saída do servidor.
Há também esta análise do protocolo de intersecção de conjuntos privados da Apple. A reclamação é essencialmente que mesmo antes de atingir o limite de alerta, o sistema PSI (sigla em inglês) transfere um pouco de informação para os servidores da Apple. O artigo descreve um cenário no qual as agências de aplicação da lei solicitam os dados da Apple e sugere que mesmo alertas falsos podem levar a uma visita da polícia.
Por enquanto, os itens acima são apenas os testes iniciais de uma revisão externa do CSAM Detection. Seu sucesso dependerá em grande parte da famosa empresa secreta que fornece transparência sobre o funcionamento do CSAM Detection – e, em particular, seu código-fonte.
O que significa a implementação do CSAM Detection para o usuário comum
Os dispositivos modernos são tão complexos que não é fácil determinar o quão seguros eles realmente são – isto é, até que ponto eles cumprem as promessas do fabricante. Tudo o que a maioria de nós pode fazer é confiar – ou desconfiar – da empresa com base em sua reputação.
No entanto, é importante lembrar este ponto-chave: o CSAM Detection funciona apenas se os usuários fizerem upload de fotos para o iCloud. A decisão da Apple foi deliberada e antecipou algumas das objeções à tecnologia. Se você não enviar fotos para a nuvem, nada será enviado para qualquer lugar.
Você deve se lembrar do conflito notório entre a Apple e o FBI em 2016, quando o FBI pediu ajuda à Apple para desbloquear um iPhone 5C que pertencia a um atirador em massa em San Bernardino, Califórnia. O FBI queria que a Apple escrevesse um software que permitisse ao FBI burlar a proteção por senha do telefone.
A empresa, reconhecendo que obedecer poderia resultar no desbloqueio não só do telefone do atirador, mas também do telefone de qualquer pessoa, recusou. O FBI recuou e acabou hackeando o dispositivo com ajuda externa, explorando as vulnerabilidades do software, e a Apple manteve sua reputação de empresa que luta pelos direitos de seus clientes.
No entanto, a história não é tão simples. A Apple entregou uma cópia dos dados do iCloud. Na verdade, a empresa tem acesso a praticamente todos os dados do usuário carregados para a nuvem. Algumas, como senhas de chaves e informações de pagamento, são armazenadas usando criptografia de ponta a ponta, mas a maioria das informações é criptografada apenas para proteção contra acesso não autorizado – ou seja, de um hack dos servidores da empresa. Isso significa que a empresa pode descriptografar os dados.
As implicações são, talvez, a reviravolta mais interessante na história da detecção de CSAM. A empresa poderia, por exemplo, simplesmente digitalizar todas as imagens no iCloud Photos (como fazem o Facebook, Google e muitos outros provedores de serviços em nuvem). A Apple criou um mecanismo mais elegante que ajudaria a repelir acusações de vigilância em massa de usuários, mas, em vez disso, atraiu ainda mais críticas – para escanear os dispositivos dos usuários.
Em última análise, o alvoroço dificilmente muda alguma coisa para o usuário médio. Se você está preocupado em proteger seus dados, deve examinar qualquer serviço em nuvem com um olhar crítico. Os dados que você armazena apenas no seu dispositivo ainda estão seguros. As ações recentes da Apple semearam dúvidas bem fundamentadas. Se a empresa vai continuar nessa linha, permanece uma questão em aberto.