WhatsApp gaat geen foto's scannen op zoek naar kindermisbruik zoals Apple

Dat er bugs zijn in dit systeem, is zo goed als een zekerheid.
Er waren ook mensen die schreeuwen dat hun account geblokkeerd was en dat dit naderhand terecht bleek. Natuurlijk zullen er altijd bugs zijn, maar dat zegt helemaal niets. Overal zitten bugs in.. dat zegt helemaal niets.

Dat is door dit soort systemen.
Daar gaat je je argument, maar jij doet uitspraken over zaken die jij helemaal niet kan weten (tenzij je aan de andere kant van die conversatie zat en dus beide kanten van het verhaal kent). Dus als jij de Microsoft CSAM beheerder bent, mijn excuses. Zo niet, doe dan geen uitspraken of trek conclusies over zaken die hier waarschijnlijk niets mee te maken hebben..

Volgens mij wordt het nu niet gescand op iCloud (end-to-end encrypted)

iCloud is niet end-to-end encrypted. Enkel je keychain en Health-data is end-to-end encrypted. De rest is enkel at-rest en in-transit encrypted, waarbij Apple in principe toegang heeft tot de data daar zij de sleutels beheren. Zo kan Apple ook voldoen aan verzoeken van rechters om de inhoud van iCloud-accounts te overhandigen. Bij E2EE zou dat onmogelijk zijn. Al je data op iCloud (en ook op OneDrive, Google Drive, DropBox, etc.) wordt nu al gescand op KP. De een doet het anders dan anderen, zo probeert Microsoft met AI/ML ook nieuwe KP te ontdekken en kan je kindje in bad aangemerkt worden als KP. Apple doet het anders en gebruikt enkel die database van reeds bekende KP; je foto's van je kindje staan daar niet in.

Echter, het gerucht gaat wel dat Apple deze functie nu implementeert omdat het iCloud end-to-end zou willen encrypten. Nu kan Apple in principe bij al je foto’s op iCloud ivm zij beheren de key. Dat zou veranderen. Maar omdat zowel de EU als de VS wetten aan het maken zijn die backdoors verplichten “omdat er wel eens kinderporno zou kunnen staan!”, neemt Apple die wind uit de zeilen. Immers hebben ze dan volledige sterke encryptie, maar er wordt wel degelijk alsnog gekeken naar die KP-database door het punt van scannen (vlak voor ivm vlak na) te verleggen. Pas als er meerdere matches zijn (dus één false positive lijdt niet tot actie), krijgt Apple een anonieme (voor de moderator) low-res kopie om te bekijken. Is het een false positive, dan wordt die discarded en klaar. Is het een positive positive, dan gaat de zaak naar justitie evenals nu het geval is bij positives op een scan bij je cloudprovider zoals die scans nu reeds plaatsvinden. Als Apple E2EE-iCloud invoert zonder scan, dan is het eigenlijk zowat een garantie dat de EU en VS het verbod op encryptie gaan invoeren. Als Apple dit invoert is het wel een enorme veiligheidsboost voor je data in iCloud vergeleken met nu. ECHTER, als deze geruchten kloppen: Apple zou op dit moment ook gewoon E2EE-iCloud in kunnen voeren en dan helemaal niet meer scannen, want er is nog geen decryptieverplichting. Ik denk alleen dat Apple heel erg bang is dat als ze dit doen zonder de “but what about the children?”-mensen te pleasen, dat ze munitie geeft aan de wetgevers om wetten die de encryptie verbieden er doorheen te rammen. Enfin, dit is slechts een gerucht; het is afwachten wat er gaat gebeuren.

Probleem is dat dit een glijdende schaal kan zijn:

Ja dat klopt, maar als we het over slippery slope hebben dan kan ik nog veel ergere en engere dingen verzinnen

- inhoudelijk: nu is het kinderporno, gaat het straks ook op voor terroristische of criminele handelingen? of voor politiek onwelgevallige meldingen?

Ik denk dat dat er aan ligt. Op het moment is het in de VS wettelijk verplicht voor cloudproviders om die scans uit te voeren. (Echter is er een caveat: als de data end-to-end encrypted is, dan kan de cloudprovider dat niet en ben je uitgezonderd omdat er geen verplichting is tot decryptie. Als Apple nu iCloud end-to-end gaat encrypten, maar deze functie (het scannen vóór upload ipv ná upload zoals nu het geval is) weglaat, dan krijg je die "THINK OF THE CHILDREN!"-argumenten en kan je er vergif op innemen dat men dit aan gaat grijpen als dé reden om end-to-end encryptie te verbieden/een backdoor te eisen met toegang tot *alle* data. Apple's systeem neemt die wind iig uit de zeilen, want er vindt gewoon een check plaats: maar dan zonder backdoor in de gehele encryptie.)

Enfin, op dit moment gaat dit enkel nog over KP. Of het in de toekomst uitgebreid gaat worden: geen idee. Dat zou kunnen. Maar onthoud dat dat nu ook al kan, immers worden alle foto's op alle clouddiensten (althans bij de grote namen: iCloud, Google Drive, Microsoft OneDrive, DropBox, etc.) reeds gescand op de aanwezigheid van KP vanuit wettelijke verplichting. Als de overheid in de VS dat wil uitbreiden, dan zullen ze daar aan moeten voldoen. De EU wil dit overigens ook invoeren, tezamen met een mogelijk verbod op end-to-end encryptie.

- controleerbaarheid: wie controleert dat het illegaal is, is Apple een rechter?

Hoe het nu werkt is dat er meerdere matches moeten zijn met de database met bekende kinderporno. Als er meerdere matches zijn, genereert de telefoon een low-res kopie die naar Apple toe gaat voor controle. Is het een false-positive, dan wordt de foto direct discarded en gebeurt er niets. Blijkt het wél een match te zijn, dan geeft Apple een seintje aan justitie en zoeken die het verder uit en zullen de zaak eventueel aan moeten melden bij de rechter. Apple is dus geen rechter, nee.

Het is ook niet langer meer voor Apple om vol te houden dat hun e2e encryptie niet af te luisteren is, omdat ze het per definitie doen (ook al doen ze het zo lijkt het met zorg).

Nogmaals: er is (nog) geen sprake van end-to-end encryptie in iCloud. (Keychain + Health uitgezonderd) Dat is dus ook een claim die Apple niet gemaakt heeft.

De gevolgen van een foutieve constatering zijn vaak disproportioneel groot bij clouddiensten die zoveel mogelijk aan elkaar koppelen. Stel dat je ook altijd mailt met je Apple mail-adres, dan zou je b.v. al moeite kunnen krijgen met het aanvechten van je account blokkade. Hierover zijn volgens mij op het forum al wel diverse berichten geweest.

Dat klopt helemaal en is een reeel probleem. Maar, onthoud wel: deze problemen gingen voornamelijk over OneDrive. Microsoft zet een systeem in dat dmv AI/ML probeert kinderporno te herkennen. Foto's van je kindjes in bad kunnen dus aangemerkt worden als KP, en daar kwam gezeik van bij meerdere Tweakers. Apple vergelijkt enkel hashes van daadwerkelijk bekende en bevestigde kinderporno. Dat is een heel ander mechanisme. Daarnaast moeten er meerdere matches zijn voordat er actie wordt ondernomen. En als het een false-positive is, dan wordt het discarded. Is het wel een positive? Tja, ehh... dan heb je een probleem.

Daarnaast zou je je kunnen afvragen of iMessage (toch primair een tool voor één op één communicatie) en iCloud (toch vooral een persoonlijke backup-tool, niet een deelplatform) überhaupt worden misbruikt voor het delen van kinderporno?

Het zou me niets verbazen. Helaas.

Misschien worden gedeelde iCloud albums misbruikt voor KP; in dat geval lijkt het mij vrij gemakkelijk, want dan staan de afbeeldingen niet-versleuteld ter beschikking tot Apple, en hoeven we deze complexe omweg niet te bewandelen.

Alle foto's staan nu al ter beschikking van Apple en worden al geruime tijd gescand. Het enige dat nu verandert, is dat Apple de foto's die je wilt uploaden naar iCloud scant *voor* upload ipv *na* upload. Foto's die je niet uploadt naar iCloud worden niet gecontroleerd. Dit zet de weg open voor Apple om E2EE-iCloud in te voeren *zonder* daarbij ammunitie te geven aan de "think of the children, let's ban privacy!" wetgevers.


Overigens, ik vind het nog steeds een slecht plan. Ik breng wel nuance aan in het verhaal, maar vind het geen prettige technologie. (Ik ben sowieso heel allergisch voor clouddiensten hoor, dus ik gebruik geen cloud; ook geen iCloud.) Maar dan in het algemeen. Dit systeem van Apple is eigenlijk helemaal zo slecht nog niet en veiliger dan bijvoorbeeld het systeem van Microsoft OneDrive en het zou eigenlijk zelfs redelijk welkom zijn als ze dit inderdaad doen omdat ze E2EE-iCloud willen introduceren zonder de US en de EU meteen wetgeving om encryptie te verbannen te doen introduceren. Maar dat neemt niet weg dat ik vind dat überhaupt de verplichting voor cloudproviders om de content maar te scannen niet zou moeten bestaan; privacy is een erg belangrijk goed. Om dit voor de massa in te perken vanwege een paar criminelen, terwijl de pakkans daarnaast heel erg laag is omdat veel van die gestoorde viespeuken helaas elkaar helpen om niet gepakt te worden dankzij goede technische oplossingen, voelt heel onredelijk. Maar let wel: dat is dus een politiek probleem. Geen Apple, Microsoft of Google probleem.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 08:18]

Ik heb me verkeerd uitgedrukt: ik bedoelde computer vision. Hetgeen ze in de messages app gaan gebruiken.

Meer als je bent per definitie schuldig, we zijn alleen nog aan het kijken waarvoor we je moeten gaan oppakken en wanneer. Want de fout in gaan doe je sowieso, dus je bent schuldig. Bedrijven horen niet op de stoel van de wetgever en politie te gaan zitten.

Maar naast dit feit, waar ik absoluut niet van gedient ben, hou ik er ook niet van dat grote Amerikaanse commerciele bedrijven hun puriteinse normen en waarden wereldwijd opleggen. Wat sociaal of wettelijk niet acceptabel is in de VS hoeft dit niet per definitie te zijn in een ander land. Dat hoeven dergelijke partijen niet op te leggen; als landen dat soort dingen willen veranderen zijn ze daar prima toe in staat zonder de 'hulp' van Apple/Microsoft/Google/FaceBook. Niet iedereen zit te wachten op een hartaanval om een blote (vrouwen) borst en de verheerlijking van vuurwapens en geweld binnnen dezelfde minuut.

De kans dat je via ouderwetse analoge opsporing ten onrechte met justitie in aanraking komt is vele malen groter...

de thumbnails van fotos die fout geflagged zijn komen vervolgens bij een Apple team(er gebeurt niks bij 1 of 2, pas bij meerdere kan er iemand naar kijken) die ziet dat het duidelijk om onschuldige foto's gaat, en je flags worden stilletjes weggehaald.

Ik reageer op een post die het heeft over mensenhanden, vandaar dat ik dat benoem.

Tsja, waarom moet je door een metaaldetector op een vliegveld? Waarom wordt er gefilmd in uitgaansgebieden of winkels? Waarom moet ik soms mijn tas openen bij de kassa? Etc.

Het is niet zo dat eventuele verdachten zelf hun illegale content gaan markeren.

En ik snap jouw punt ook hoor, maar het is mij te makkelijk om te zeggen dat onschuldigen helemaal niets moeten hoeven opofferen (en het offer is hier marginaal in mijn ogen) om schuldigen te vinden. Dat gebeurt niet alleen hier, maar dagelijks ook op heel veel andere plekken en manieren.

https://www.apple.com/child-safety:

Only when the threshold is exceeded does the cryptographic technology allow Apple to interpret the contents of the safety vouchers associated with the matching CSAM images. Apple then manually reviews each report to confirm there is a match

[Reactie gewijzigd door Krulliebol op 23 juli 2024 08:18]

Je kunt het ook andersom zien: middelen hiervoor bestaan al lang en op een veel privacy-onvriendelijkere manier. Kijk bijvoorbeeld naar China hoe zij bestanden en / of het internet controleren. Zij hebben deze methode van Apple helemaal niet nodig, die hebben al veel betere alternatieven voor hun 'iets anders'. Apple had het op diezelfde privacy-onvriendelijke manier kunnen doen, maar doet het nu op een privacy-vriendelijkere manier.

Dus er telkens weer intrappen gaat wat mij betreft in dit geval niet op. Als er een kwaadwillende organisatie of regime is, hebben ze dit middel niet nodig, daar zijn al lang andere (en betere) middelen voor.

Dat het kan, snap ik. Maar als ik zo'n organisatie was, zou ik kieskeurig zijn met welke foto's ik dan in de database stop. Het is nergens voor nodig om te matchen op badfoto's die in een andere context niet illegaal zijn als er genoeg andere foto's zijn waar je op kunt matchen die wel duidelijk misbruik tonen.

Ho even, iets te kort door de bocht. Als er voorheen geen kwaadwillend gedrag is geweest (even hoe dat getoetst wordt buiten beschouwing latende) en je ontvang dit voor een 1e keer incidenteel? Het mechanisme zal in dit geval vast bepalen dat de verstuurder trammelant krijgt en niet de ontvanger.

Anders wordt het veel en véél te makkelijk.

Het systeem zoals Apple wil gebruiken gebruikt geen objectherkenning om te matchen. Het maakt een hash en vergelijkt deze met bestaande hashes in een database. Een foto die niet in de database voorkomt geeft geen positief signaal. De foutmarge is 1 op de biljoen positieve matches (dus niet 1 op de biljoen foto's). Het citaat dat je aanhaalt gaat over foto's die binnenkomen die vervolgens wel of niet aan kinderen worden getoond. Daar wordt objectherkenning op toegepast.
Het hashen gebeurt inderdaad op basis van wat er op de foto te zien is om zo licht aangepaste foto's (crops, helderheid/contrast aanpassingen) toch te kunnen matchen met de hash in de database. Foto's die niet in de database voorkomen worden dus nooit gevlagd.

Die database wordt heel breed in de opsporing van kindermisbruik ingezet. Als daar foto's ten onrechte in terecht komen heeft dat ook invloed op al die andere opsporingsmethoden en heeft dus niets te maken met deze van Apple in het bijzonder.

Met de hash kun je niets, behalve als ze in de database voorkomen. Dat kun je dus matchen met een bekende foto.
Het is niet te vergelijken met het meekijken in je album. Een hash is niet hetzelfde als meekijken. Er wordt meegekeken in de verzameling hashes en niet in het album. Dat is echt wat anders.
Apple gaat niemand kenmerken als misdadiger. In het geval van een positieve match vindt er een menselijke beoordeling plaats en als die ook positief uitvalt, worden de autoriteiten ingelicht. Die bekijken vervolgens wat ze met de melding doen. Dit is niet anders dan wat ontwikkelcentrales, speeltuinen, campings, zwembaden, winkels etc. ook doen en verplicht zijn om te doen. Het systeem zoals Google en MS gebruiken is een heel ander verhaal. Die gaan zelf op de stoel van justitie zitten.

Dat zeg ik toch? Alleen als die foto in de database voorkomt en het dus een strafbare foto is. Alle andere foto's zijn niet te matchen.

Ja, in eerste instantie, maar Apple heeft aangegeven dit in andere landen volgens de lokaal geldende wetten te willen implementeren.

Klopt maar we moeten het wel vergelijken met andere opsporingsmethoden waarbij dwalingen plaatsvinden en mensen onterecht met justitie te maken krijgen. Men heeft de neiging om vooral nieuwe methoden flink onder de loep te nemen terwijl bestaande falende methoden niet meer besproken worden. Als dit tot minder vals positieven leidt dan bestaande methoden is dat alleen maar positief.

Precies, dit soort dingen komen altijd met een glijdende schaal dat omlaag gaat.

Recent voorbeeldtje: nieuws: Politie gebruikte onterecht foto's van automobilisten via kentekencam...

In eerste instantie zou dit systeem alleen worden gebruikt voor snelheidsovertredingen en milieuoverschrijdingen. Toch niet, zo zie je maar. Als het kan dan zal het ook gewoon gedaan worden. Nu inderdaad om alleen kinderporno te stoppen, straks om terrorisme te stoppen, hierna om foto's van de Eiffel toren in de nacht weg te knippen?

[...]
dat zou wel het meest idiote systeem zijn. Elke pedofiel zet het niet aan en kan zijn gang gaan.
Ik vrees dat je de werkelijke consequenties niet goed begrijpt.
Iedereen is verdacht volgens Apple, dus iedereen wordt gescand op kp.

Nu den ik niet dat de soep zo heet gegeten gaat worden

Ik denk eerder dat dit een poging tot (goede) media-exposere is, na allerlei nare berichten op "wij helpen de FBI niet" en "wij vragen teveel voor onze appstore"

Dat klopt niet. De iPhone scant enkel foto’s die je wilt uploaden naar iCloud. Op dit moment vindt die scan plaats direct ná upload (wettelijk verplicht). In plaats daarvan willen ze het nu direct vóór upload scannen. Hoe dan ook wordt je foto gescand, net als bij alle andere clouddiensten; enkel het moment van scannen verplaatst.

Het is niet zo dat je iPhone alle foto’s op je device gaat scannen, tenzij je toevallig alle foto’s upload naar iCloud. Maar dat is nu ook al het geval.

Apple loopt je huis binnen zonder te bellen of aan de deur te kloppen en struint al je lades door omdat te gaan scannen. Hoe fijn is dat?

Morgen zetten jouw microfoon aan en luisteren wat jij te zeggen hebt en met een hash pakken ze jouw op ivm een boek bespreking over terroristen. Success.

Google zegt steekproefsgewijs. Maar dit is eerder een capaciteitsprobleem. Als ze het konden controleerde/scande ze het liefst alle pakketjes.