Plano da Apple de escanear iPhones dos EUA levanta bandeira vermelha sobre privacidade

A Apple anunciou planos para escanear iPhones em busca de imagens de abuso infantil, levantando preocupações imediatas sobre a privacidade do usuário e vigilância a partir da mudança.

O iPhone da Apple se tornou um iEspião?

A Apple diz que seu sistema é automatizado, não escaneia as imagens em si, usa alguma forma de sistema de dados hash para identificar instâncias conhecidas de materiais de abuso sexual infantil (em inglês, Child Sexual Abuse Material, ou CSAM) e afirma que possui alguns dispositivos de segurança para proteger a privacidade.

Os defensores da privacidade alertam que agora que criou tal sistema, a Apple está em um caminho difícil para uma extensão inexorável de varredura de conteúdo no dispositivo e relatórios que poderiam – e provavelmente serão – abusados por alguns países.

O que o sistema da Apple está fazendo

Existem três elementos principais no sistema que estarão à espreita no iOS 15, iPadOS 15 e macOS Monterey quando forem lançados ainda este ano.

• Digitalização das suas imagens

O sistema da Apple verifica todas as imagens armazenadas no iCloud Photos para ver se elas correspondem ao banco de dados CSAM mantido pelo Centro Nacional para Crianças Desaparecidas e Exploradas (em inglês, National Center for Missing and Exploited Children, ou NCMEC).

As imagens são digitalizadas no dispositivo usando um banco de dados de hashes de imagem CSAM conhecidos, fornecidos pelo NCMEC e outras organizações de segurança infantil. A Apple transforma ainda mais esse banco de dados em um conjunto ilegível de hashes que é armazenado com segurança nos dispositivos dos usuários.

Quando uma imagem é armazenada no iCloud Photos, um processo de correspondência ocorre. No caso de uma conta ultrapassar um limite de múltiplas instâncias de conteúdo CSAM conhecido, a Apple é alertada. Se alertada, os dados são revisados manualmente, a conta é desabilitada e o NCMEC é informado.

O sistema não é perfeito, no entanto. A empresa diz que há menos de uma em um trilhão de chance de sinalizar incorretamente uma conta. A Apple tem mais de um bilhão de usuários, o que significa que há mais de 1/1.000 chances de alguém ser identificado incorretamente a cada ano. Os usuários que acharem que foram sinalizados por engano podem apelar.

Imagens são digitalizadas no dispositivo.

• Verificação das suas mensagens

O sistema da Apple usa machine learning no dispositivo para digitalizar imagens em mensagens enviadas ou recebidas por menores de material sexualmente explícito, avisando os pais se tais imagens forem identificadas. Os pais podem ativar ou desativar o sistema, e qualquer conteúdo recebido por uma criança ficará desfocado.

Se uma criança tentar enviar conteúdo sexualmente explícito, ela será avisada e os pais serão informados. A Apple afirma não ter acesso às imagens, que são escaneadas no aparelho.

• Visualização do que você pesquisa

A terceira parte consiste em atualizações para Siri e Search. A Apple diz que agora eles vão fornecer aos pais e filhos mais informações e ajuda caso eles se deparem com situações inseguras. A Siri e o Search também intervêm quando as pessoas fazem o que é considerado consultas de pesquisa relacionadas ao CSAM, explicando que o interesse neste tópico é problemático.

A Apple nos informa de maneira útil que seu programa é “ambicioso” e os esforços irão “evoluir e expandir com o tempo”.

Alguns dados técnicos

A empresa publicou um extenso white paper técnico que explica um pouco mais sobre seu sistema. No artigo, no entanto, fica difícil garantir aos usuários que ele não aprende nada sobre imagens que não correspondam ao banco de dados específico.

A tecnologia da Apple, chamada NeuralHash, analisa imagens CSAM conhecidas e as converte em um número único específico para cada imagem. Somente outra imagem que parece quase idêntica pode produzir o mesmo número; por exemplo, imagens que diferem em tamanho ou qualidade transcodificada ainda terão o mesmo valor NeuralHash.

Conforme as imagens são adicionadas ao iCloud Photos, elas são comparadas a esse banco de dados para identificar uma correspondência.

Se uma correspondência for encontrada, um voucher de segurança criptográfico é criado, o que, pelo que entendi, também permitirá que um revisor da Apple descriptografe e acesse a imagem ofensiva caso o limite de tal conteúdo seja atingido e uma ação seja necessária.

“A Apple é capaz de aprender as informações relevantes da imagem apenas quando a conta tem mais do que um número limite de correspondências CSAM e, mesmo assim, apenas para as imagens correspondentes”, conclui o artigo.

A Apple não é única, mas a análise no dispositivo pode ser

A Apple não está sozinha ao ser obrigada a compartilhar imagens do CSAM com as autoridades. Por lei, qualquer empresa dos EUA que encontrar tal material em seus servidores deve trabalhar com as autoridades legais para investigá-lo. Facebook, Microsoft e Google já possuem tecnologias que fazem a varredura de tais materiais compartilhados por e-mail ou plataformas de mensagens.

A diferença entre esses sistemas e este da Apple é que a análise ocorre no dispositivo, não nos servidores da empresa.

A Apple sempre afirmou que suas plataformas de mensagens são criptografadas de ponta a ponta, mas isso se torna uma pequena alegação semântica se o conteúdo do dispositivo de uma pessoa for verificado antes mesmo de a criptografia ocorrer.

A proteção infantil é, obviamente, algo que a maioria das pessoas racionais apoia. Mas o que preocupa os defensores da privacidade é que alguns governos podem agora tentar forçar a Apple a pesquisar outros materiais nos dispositivos das pessoas.

Um governo que proíbe a homossexualidade pode exigir que esse tipo de conteúdo também seja monitorado, por exemplo. O que aconteceria se um adolescente em um país que proíbe a atividade sexual não binária pedir ajuda à Siri para se assumir? E os dispositivos discretos de audição ambiente, como HomePods? Não está claro se o componente relacionado à pesquisa deste sistema está sendo implantado lá, mas possivelmente está.

E ainda não está claro como a Apple será capaz de se proteger contra qualquer desvio de missão.

Os defensores da privacidade estão extremamente alarmados

A maioria dos defensores da privacidade sente que há uma chance significativa de desvio de missão inerente a este plano, que não faz nada para manter a crença no compromisso da Apple com a privacidade do usuário.

Como um usuário pode sentir que a privacidade está garantida se o próprio dispositivo os está espionando e eles não têm controle sobre como isso ocorre?

A Electronic Frontier Foundation (EFF) avisa que esse plano cria uma porta dos fundos de segurança.

“Tudo o que seria necessário para alargar a porta dos fundos estreita que a Apple está construindo é uma expansão dos parâmetros de machine learning para procurar tipos adicionais de conteúdo, ou um ajuste nos sinalizadores de configuração para verificar, não apenas as contas de crianças, mas de qualquer pessoa. Isso não é uma ladeira escorregadia; esse é um sistema totalmente construído apenas esperando que a pressão externa faça a menor mudança”.

“Quando a Apple desenvolve uma tecnologia que é capaz de escanear conteúdo criptografado, você não pode simplesmente dizer: ‘Bem, eu me pergunto o que o governo chinês faria com essa tecnologia’. Isso não é teórico”, alertou Matthew Green, professor da John Hopkins.

Argumentos alternativos

Existem outros argumentos. Um dos mais convincentes deles é que os servidores de ISPs e provedores de e-mail já são verificados por esse conteúdo, e que a Apple construiu um sistema que minimiza o envolvimento humano e apenas sinaliza um problema no caso de identificar várias correspondências entre o banco de dados CSAM e o conteúdo no dispositivo.

Não há dúvida de que as crianças correm risco.

Dos quase 26.500 nomes relatados ao NCMEC em 2020, um em cada seis provavelmente foi vítima de tráfico sexual infantil. A CyberTipline da organização (à qual imagino que a Apple esteja conectada neste caso) recebeu mais de 21,7 milhões de relatórios relacionados a alguma forma de CSAM em 2020.

John Clark, presidente e CEO do NCMEC, disse: “Com tantas pessoas usando produtos da Apple, essas novas medidas de segurança têm potencial para salvar vidas de crianças que estão sendo atraídas on-line e cujas imagens horríveis estão circulando no CSAM. No Centro Nacional para Crianças Desaparecidas e Exploradas, sabemos que esse crime só pode ser combatido se formos firmes em nossa dedicação à proteção das crianças. Só podemos fazer isso porque parceiros de tecnologia, como a Apple, se esforçam e mostram sua dedicação”.

Outros dizem que, ao criar um sistema para proteger as crianças contra esses crimes flagrantes, a Apple está removendo um argumento que alguns podem usar para justificar backdoors de dispositivos em um sentido mais amplo.

A maioria de nós concorda que as crianças devem ser protegidas e, ao fazer isso, a Apple destruiu esse argumento que alguns governos repressivos podem usar para forçar a questão. Agora, deve se opor a qualquer desvio de missão por parte de tais governos.

Esse último desafio é o maior problema, visto que a Apple, quando pressionada, sempre seguirá as leis dos governos das nações em que atua.

“Não importa o quão bem-intencionada seja, a Apple está implementando vigilância em massa para todo o mundo com isso”, alertou o famoso defensor da privacidade Edward Snowden. Se eles podem escanear o CSAM hoje, “eles podem escanear qualquer coisa amanhã”.