先说结论,会侵犯隐私,而且具体会侵犯哪些隐私是由 NCMEC 拍板决定的,连苹果都不一定能控制,用户就更无力把握了。
说这个功能不会侵犯隐私的人,我就不说苹果的 CSAM Detection 白皮书了,苹果官网的 Child Safety 宣传页完整读过了吗?
整个技术的大致原理,通俗来说是这样的:
美国国家儿童失踪与受虐儿童援助中心(NCMEC)会给苹果提供一份“儿童色情图片”特征库,苹果手机拿到这份特征库后,会在你的设备上直接比对哪些图片符合这些特征。
[...], an on-device matching process is performed for that image against the known CSAM hashes.
如果吻合的图片超过一定数量,苹果就能通过一项名为“threshold secret sharing”的技术解密你的图片数据,人工检查相册里的照片到底是不是儿童色情,要不要上报给执法部门等等。
Apple then manually reviews each report to confirm there is a match, disables the user’s account, and sends a report to NCMEC.
换句话说,只要你的相册里有足够的照片命中了特征库,苹果(或者说执法部门)就可以解密并翻阅你的相册数据。
有的朋友可能不理解,特征都已经匹配上了,为什么还需要人工审查?
这是因为苹果使用的 NeuralHash 技术属于模糊哈希(Fuzzy Hash / Local Sensitivity Hash)的一种,它的结果不是100%确定的。有可能你只是在相册里存了几十张不太健康的图片,但却被神经网络识别成了几十张儿童色情图片。如果你不允许苹果工作人员亲自翻检你的相册的话,就可能会平白蒙受牢狱之灾……至少苹果的故事版本是这样的。
为了让用户安心,苹果声称自己使用的 NeuralHash 技术误报率只有“每年不超过万亿分之一“(less than a one in one trillion chance per year),所以用户不用太担心自己的照片因为误报而被解密。
但问题是,如果这些匹配结果不是误报呢?
如果 NCMEC 的特征库从一开始就加了一堆私货,会大量匹配到执法部门感兴趣的图片,那不就意味着云端可以绕过现行的所有加密体系,不断通过 threshold secret sharing 解密这些用户的照片?
而且苹果在白皮书里也说了,NCMEC 下发的特征库是通过层层加密精心保护的,不会开放给用户检查,这样就能“避免恶意用户绕过特征库的检查”。也就是说,用户是基本没有机会检查这个特征库的内容的,整个体系就是刻意设计成了这样。
整份白皮书看下来,让我感觉苹果根本就是在自身已有的安全体系上开了一个大口子。
苹果原本是全世界最安全的手机/云备份厂商之一,这也是很多用户选择购买苹果产品的核心要素。用户的照片上传到 iCloud 前,会先经过高强度的加密。而且加密密钥只会保存在本地,不会上传到苹果服务器上,有全世界人数众多的逆向工程师和安全工程师在监督这个安全流程。即使你把整个苹果的数据中心打穿了,也拿不到一条明文数据。
虽然有人常常提起苹果收到法院传票后会帮美国政府解锁数据,但是目前为止苹果官方的 Law Enforcement Guideline 都声称苹果手里的技术仅能解锁 iOS 8 以下的系统,iOS 8 及以上的系统只能求助于黑市上那些苹果都不知道的非公开 0-Day 漏洞。
但是有了这个 CSAM Detection 之后,苹果相当于绕过了自己之前大力宣传的安全体系。匹配哪些图片、解密哪些图片,完全是由一份不透明的特征库来决定的。而且有大量关键环节发生在云端,只有苹果的服务器知道发生了什么,凭借逆向工程无法完全监督这个流程,也无怪乎引来大众的质疑了。
顺便一提,有的朋友可能会好奇,美国执法机构和苹果合作搞这种东西会不会有什么法律风险之类的。这方面推荐阅读一下斯诺登写的《永久记录》,美国执法机构玩了一个非常巧妙的文字游戏——它们声称自己从来没有“大规模收集民众隐私”,而是“用一套自动化的系统收集了大量数据,存放到了一个数据库里”。只有当执法机构从这个数据库里查询某个人的记录的时候,才算是“访问了这个人的隐私”,而这个规模是很小的,所以一切都非常合法。
好了,话题跑远了,正好我们就用斯诺登对此次事件的评价作为结尾吧。
No matter how well-intentioned, @Apple is rolling out mass surveillance to the entire world with this. Make no mistake: if they can scan for kiddie porn today, they can scan for anything tomorrow. They turned a trillion dollars of devices into iNarcs—*without asking.*
不管初衷有多好,苹果这次都相当于在推行一套世界规模的监控体系。不要被话术蒙蔽了:他们今天能扫描儿童色情内容,明天他们就能扫描任何信息。他们正在将上万亿美元的电子设备变成“i卧底” —— 却没有征求我们任何用户的意见。
在这个电子设备掌握你一切秘密的时代,不要依赖“他人的道德”这种模糊的东西来保护自己,“商业公司的道德”听起来更是一种荒诞的讽刺。
不会背叛你的只有你自己。
这个做法挺奇怪的,因为哈希值只能做精确全量匹配,随便加个水印或者稍微编辑一下exif都能改变它。
所以,除非苹果认为用户在相册里保存的都是从互联网原样下载的图片,否则,只匹配哈希值基本上解决不了什么问题。
另外,既然能哈希值匹配,那就意味着在后台有个样本非常齐全的哈希库,这个哈希库在谁的手里,是谁在维护的,也是个挺有意思的话题。
从一开始泄露出来的消息来看,这个系统是这样的:
这年头上传 hash 这件事基本就不是事,涉及到隐私的部分在「人工审核」这里。人工审核肯定不是审核 hash 了,必然要上传照片本身(当然水果并没有说,我猜的)。那么水果凭什么偷偷上传你的照片本片呢?肯定是要在用户协议里偷偷加东西了。
但是!!!
这件事最可怕的点不在这,而是
当然了这两个问题在我国都不存在。
后来水果发布了一个 FAQ,并且某高管接受了一个采访,透露出了另外一些信息:
所以至少这些功能是可以关闭的。但是这点很奇怪⋯⋯
另外在采访里,记者连续问了三个同样的问题,就是如果政府要求水果识别除儿童色情以外的照片,水果怎么办。水果在第三个问题的时候才稍微沾点边地回答了这个问题:这个功能只在美国启用,在美国的法律框架下政府很难强迫水果加入识别合法内容的功能。那么如果某国政府要求水果加入其他识别功能呢?水果的回答是这样的:
我们的操作系统是全球统一的,所以我们无法单独为一群人加入某个功能。
哪尼???你刚刚不是才说了识别儿童色情这个功能只在美国有么???你可以在全球加入这个功能然后只在某国开启啊?????所以实际上水果是承认了他们会在政府的要求下加入其他识别功能。
不过我们也不用过于担心,毕竟我国有云上贵州,不需要这个功能,嗯。
总之这件事就是很奇怪⋯⋯
UPDATE 0:我在看其他回答和评论的时候突然发现一件事,就是很多人认为政府侵犯隐私不算侵犯隐私,公司侵犯才算。不评论。
UPDATE 1:请大家观赏这个 thread 哈哈⋯⋯
UPDATE 2: 安全大触 Shneier 的 blog 文章,摘录:
This is pretty shocking coming from Apple, which is generally really good about privacy. It opens the door for all sorts of other surveillance, since now that the system is built it can be used for all sorts of other messages. And it breaks end-to-end encryption, despite Apple’s denials
看你用哪款了,2018的11寸 pro很不错的。
但是,壳一定要脱,散热。
不然热度积累就是卡。
不要用手柄玩了,直接用手