Apple e la lotta alla pedopornografia

Lifestyle

Nelle ultime settimane, molte testate giornalistiche, soprattutto settoriali, non fanno altro che parlare del nuovo sistema EPC (Expanded Protections for Children) che verrà introdotto, da parte di Apple, a partire dalla fine del 2021 e per il momento solo negli Stati Uniti, al fine di contrastare, da un lato, la pedopornografia online e, dall’altra parte, proteggere gli utenti minori che utilizzano un dispositivo Apple.
Il sistema EPC avrà il compito di lavorare su due fronti:

  • Mediante il controllo di iMessage, ove le foto ricevute (o inviate) da parte dell’utente verrà sottoposte ad un’analisi basata su algoritmi di machine learning
  • Mediante la scansione sul database CSAM (Child Sexual Abuse Material), per quanto riguarda le foto caricate all’interno di iCloud

Ma non solo, il sistema EPC avrà lo scopo di tenere sotto controllo l’utilizzo dei dispositivi Apple da parte dei minori. Infatti, nel momento in cui l’account Apple utilizzato risulti intestato ad un minore di anni 14, i genitori dello stesso verranno avvisato ogni qual volta, secondo l’algoritmo implementato a partire da iOs 15 (e ripetiamo, al momento solo negli Stati Uniti), l’utente riceverà materiale ritenuto pornografico o effettui una ricerca online relativa ad un tema considerato sensibile.

La maggior parte dei clienti sembrano preoccupati: Apple non era famosa, tra le tante caratteristiche per cui la si distingue, anche per l’elevato grado di privacy che ha sempre offerto con i suoi dispositivi? D’altronde, nel 2017, non aveva ceduto nemmeno alle richieste dell’FBI, nel momento in cui venne chiesto alla Mela di sbloccare l’iPhone di un potenziale terrorista (caso San Bernardino).

A tal proposito, abbiamo deciso di chiedere maggiori informazioni a Luca Mercatanti, esperto di Web, Comunicazione Digitale ed Hacking.

Già al CES 2020, il CPO (Chief Privacy Officer) Jane Horvath, affermò che Apple utilizzasse una tecnologia di corrispondenza tra le immagini per trovare evidenze relative a materiale pedopornografico. In quella sede non vennero forniti molti dettagli, ma ad oggi sappiamo che, nella pratica, nessuna fotografia caricata su iCloud viene effettivamente vista da un essere umano. I contenuti caricati in cloud, infatti, generano un hash (un codice, ndr) univoco che viene poi confrontato con un enorme database contenenti gli hash di tutto il materiale pedopornografico sequestrato dalle forze dell’ordine di tutto il mondo. Tale database prende il nome di National Center for Missing and Exploited Children e, anche in questo caso, nessuna foto è archiviata, ma è presente solo l’hash di riferimento.

Nella pratica, prima che una foto (o qualsiasi altro tipo di immagine o video) venga caricata su iCloud, il dispositivo, in locale, effettua un controllo, generando un hash es e questo corrisponde con uno degli hash del NCMEC viene generato un Safety Vouchers, un allarme con delle informazioni cifrate. Solo in questo caso, e dopo un certo numero di Safety Vouchers generati, scatta la segnalazione ad un team dedicato della Apple, il quale provvederà a visionare manualmente i contenuti ritenuti sensibili. Se tale controllo risulterà positivo, verrà aperta una segnalazione e l’utenza bloccata.

Sempre a tal proposito, Luca Mercatanti ci chiarisce che:

la tecnologia “threshold secret sharing” è ritenuta, da parte di Apple, altamente efficace, con un margine d’errore di 1 foto ogni 1.000 miliardi di analisi. Fintanto che l’hash generata in locale non corrisponde ad una di quelle contenute nel NCMEC, nessun Safety Voucher viene emesso e, anche nel caso ciò avvenga per errore, un solo “warning” non è sufficiente a far scattare un’analisi manuale da parte di Apple.

Mercatanti, inoltre, ci fa notare che, all’interno delle Condizioni d’uso di iCloud, vi è una clausola (al punto V, denominato “Contenuto e comportamento”, lettera C), specifica relativa all’analisi del contenuto caricato in cloud:

Apple si riserva il diritto in ogni momento di decidere se un Contenuto è opportuno e conforme con il presente Contratto e può controllare, spostare, rifiutare, modificare e/o rimuovere i Contenuti in ogni momento, senza preavviso e a sua sola discrezione, nel caso in cui tali Contenuti siano ritenuti in violazione del presente Contratto o siano sgradevoli in altro modo.

A questo punto, sorge spontanea una domanda: se i contenuti dell’iPhone sono cifrati, com’è possibile che un team dedicato sia in grado di visionare le fotografie segnalate dall’algoritmo di intelligenza artificiale collegato al database NCMEC?
Tornando dall’esperto che ci sta aiutando, cerchiamo di capire meglio le cose:

Il contenuto caricato in iCloud non è cifrato, come avviene invece per i dati memorizzati all’interno del dispositivo. iCloud è l’unico spazio in cui può dare supporto alle autorità. Se non fosse per iCloud, Apple non sarebbe in grado di accedere ad alcuna informazione riservata. In parte, questo problema è anche di privacy: chiunque riesce, infatti, ad impossessarsi dei dati di accesso di iCloud, con il relativo fattore a doppia autenticazione, è in grado di tenere sotto controllo una persona. Ma questa, è un’altra storia, di cui ho parlato nella mia pagina dedicata alla Comunicazione Digitale.