Перейти к содержанию

Apple планирует следить за пользователями с помощью CSAM Detection | Блог Касперского


Рекомендуемые сообщения

Опубликовано

В начале августа 2021 года компания Apple провела брифинг для прессы, в ходе которого анонсировала новую систему идентификации фотографий, содержащих сцены насилия над детьми. Хотя цели Apple, безусловно, благие — борьба с распространителями детской порнографии, — компания немедленно подверглась критике.

До этого Apple потратила много усилий, чтобы создать имидж производителя, который заботится о приватности пользователей. Ожидаемые нововведения в iOS 15 и iPadOS 15 уже нанесли этой репутации серьезный ущерб, но сдаваться компания не намерена. Что именно произошло и как это отразится на обычных владельцах айфонов и айпадов? Давайте разбираться.

Что такое CSAM Detection

В общих чертах планы Apple описаны на сайте компании. Компания разработала систему, получившую название CSAM Detection и предназначенную для поиска на устройствах пользователей «материалов сексуального насилия над детьми» — то есть тех самых CSAM (эта аббревиатура расшифровывается как Child Sexual Abuse Material).

Хотя термин «детская порнография» обозначает то же самое, CSAM считается более корректным определением, по мнению организации NCMEC (National Center for Missing and Exploited Children), которая занимается поиском и спасением пропавших и эксплуатируемых детей в США. Именно она поставляет Apple и другим технологическим компаниям информацию об известных фотографиях со сценами насилия.

CSAM Detection была анонсирована вместе с некоторыми другими фичами, расширяющими функциональность родительского контроля на мобильных устройствах Apple. Например, родителям будут присылать уведомление, если ребенку в мессенджере Apple пришлют порнографическую картинку.

Из-за одновременного анонса сразу нескольких технологий произошла путаница, и у многих возникло ощущение, что Apple теперь будет следить за всеми и всегда, но это не совсем так. Далее в этом материале мы будем говорить только о технологии CSAM Detection.

 

View the full article

Опубликовано
Quote

Такой достаточно высокий порог срабатывания, по словам Apple, дает очень мало шансов на ложное определение — якобы такое может произойти только «в одном случае из триллиона»

А ещё Эпол говорили, что их технология распознавания лиц так совершенно, что ложных срабатываний почти не будет. В итоге телефоны могут разблокировать дети (оказалось, что это задокументировано, просто Эпол скромно вынесла это за скобки) и китайцы. Так что _верить_ их словам не просто не стоит. Эти их рассчёты _нужно_ игнорировать как маркетинговую ересь.

 

Quote

Сейчас речь идет о детской порнографии, но раз уж такой механизм существует, где гарантия, что его нельзя будет перенацелить на другой контент?

Помните, с чего начиналась цензура в России? С защиты детей от опасного контента. Вот тут тоже самое: детектироваться будет то, что скажут. Что добавят в базу — то и будет отлавливаться. Добавят в базу фоточки несогласных с самым свободным режимом самой свободной демократии мира и в секунду получат детекты всех, кто хранит эти фотографии (и, видимо, враг самой демократичной демократии планеты). Далее остаётся только взять этого несогласного за одно место.

 

Quote

Претензии правоохранительных органов о сложностях в поимке преступников и сборе доказательной базы из-за повсеместного внедрения шифрования понятны.

Мне не понятны. Шифрование всего и вся, начиная от специального языка (фени), заканчивая подделкой документов — всё это было всегда. И как-то с этим работали. Не хочу я, чтобы мои переписки сканировались, идите в одно место. Я там пишу, что [президент одной страны] — плохой человек и пишу, чтобы на фонарном столбе повесили [объявление о его уходе]. Но эту возможность у меня пытаются забрать (я — это абстрактный пользователь, и я — конкретно я)

 

Quote

Уже написаны утилиты, позволяющие экспериментировать с алгоритмом поиска совпадающих картинок, и в том числе находить вот такие коллизии: две картинки ниже по версии алгоритма Apple NeuralHash имеют одинаковый цифровой идентификатор, при этом они очевидно разные

Это вообще не новость и конкретно к Эплу нет никаких претензий. Атаки на CV существуют столько же, сколько это компьютерное зрение (и распознавание образов) известно. Есть атаки, которые позволят выдавать одни объекты за другие, есть атаки, которые просто начисто сбивают алгоритмы работы (так что ждём в скором времени утилиту для отравления собственной базы снимков как раз ради защиты от этой фичи).

 

Резюмируя. Очередной инструмент для сильных, чтобы удобнее было прессовать слабых. И не важно вообще, что это Эпл. Также делают вообще все остальные.

  • Like (+1) 2
Опубликовано

Меня уже давно смущает слежение телефона за моим разговорами вблизи него. И периодически всплывающая реклама совпадает с произнесенными словами возле телефона. Теперь еще будут отслеживать фотогалерею. А потом (а может быть и уже), будут отслеживать камеру, и подсказывать, что необходимо тебе купить для полного счастья.

Пора возвращаться к кнопочным телефонам) ?

Опубликовано (изменено)
5 минут назад, Umnik сказал:

Тогда достаем из шкафов или на барахолке Nokia 3310 и Siemens A52 ?

Изменено пользователем Swift

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      До недавнего времени злоумышленники в основном интересовались криптокошельками исключительно домашних пользователей. Однако, по всей видимости, бизнес все чаще стал использовать криптовалюту — теперь злоумышленники пытаются добраться и до кошельков организаций. За примерами далеко ходить не надо. Недавно исследованный коллегами зловред Efimer, рассылаемый организациям, умеет подменять адреса криптокошельков в буфере обмена. В России организации не имеют права рассчитываться криптовалютой, но, тем не менее, некоторые используют ее в качестве инвестиций. Поэтому функциональность, связанная с криптокошельками, появилась даже в зловредах, используемых в атаках исключительно на российские организации. Вредоносное ПО семейства Pure, например, не только подменяет адреса в буфере, но также охотится и за учетными данными программных криптокошельков. Поэтому мы не очень удивились, когда увидели и криптовалютный фишинг, направленный не только на домашних, но и на корпоративных пользователей. Чему мы удивились, так это легенде и, в целом, качеству этого фишинга.
      Фишинговая схема
      Сама по себе схема нацелена на пользователей аппаратных криптокошельков Ledger: Nano X и Nano S Plus. Злоумышленники рассылают фишинговое письмо, в котором многословно извиняются за допущенный промах — якобы из-за технического недочета сегменты приватного ключа от криптокошелька были переданы на сервер Ledger. И он в общем-то был очень хорошо защищен и зашифрован, но вот команда обнаружила очень сложную утечку, в ходе которой атакующие эксфильтрировали фрагменты ключей и при помощи крайне продвинутых методов расшифровали их и реконструировали часть ключей, что привело к краже криптоактивов. И чтобы через эту уязвимость не взломали еще и ваш криптокошелек, авторы письма рекомендуют немедленно обновить микропрошивку устройства.
      Фишинговое предупреждение о необходимости обновления микропрошивки
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Присутствие в Интернете сегодня неизбежно. Все больше и больше повседневных процессов происходят онлайн, и, если вы не моряк и не лесничий, жить в офлайне теперь — привилегия. По примерным оценкам, каждый из нас генерирует ежечасно от двух до трех гигабайт данных — через смартфоны, IoT-устройства и онлайн-сервисы. При этом 71% тех же американцев обеспокоены сбором информации государством, а 81% — корпорациями. Сегодня мы разберем обычный день современного человека, чтобы понять, где и как мы оставляем цифровые следы привычными действиями и что с этим делать.
      Утренние ритуалы: как следят смартфон и браузер
      Вы встали, узнали погоду на сегодня, полистали рилсы, что-то полайкали, вбили свой маршрут на работу и выяснили, через какие пробки вам придется продираться. С настройкой приватности в соцсетях все очевидно: ее надо подкрутить, чтобы подписанные на вас родители и коллеги не поседели от вашего чувства юмора, и поможет в этом наш сайт Privacy Checker. Сложнее с геопозицией, которую любят собирать все кому не лень. Мы уже подробно рассказывали о том, как смартфоны собирают на вас досье, и о том, кто такие брокеры данных геолокации и что происходит, когда они «протекают».
      Только представьте: около половины популярных Android-приложений запрашивают геолокацию там, где она не нужна. А браузеры Chrome и Safari по умолчанию разрешают кросс-доменное отслеживание cookies, что позволяет рекламным сетям строить детальные профили пользователей под персонализированную рекламу. В ход идет почти вся телеметрия смартфона, позволяющая составлять детальный портрет потребителя без кастдевов и фокус-групп. Лучший маркетолог — у вас в кармане, только вот работает он не на вас. Как быть?
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?
      Мотивы перехода на passkeys в компании
      Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:
      Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Исследователи Маттео Риццо и Энди Нгуен из компании Google опубликовали работу, в которой предложили усовершенствованную атаку Retbleed. Как мы объясняли в одном из предыдущих постов, атака Retbleed эксплуатирует уязвимости в процессорах AMD Zen и Zen 2, а также в процессорах Intel поколений Kaby Lake и Coffee Lake. Аппаратные уязвимости такого рода крайне сложно использовать на практике, из-за чего всевозможные варианты Spectre, а также производные атаки, типа Retbleed, остаются по большому счету теоретическими. Хотя методы борьбы с ними внедряют и создатели процессоров, и разработчики ПО. Суть работы исследователей Google заключается в повышении эффективности атаки Retbleed. Не меняя ничего кардинально в архитектуре атаки, они смоги использовать особенности процессоров AMD Zen 2, чтобы читать произвольные данные из оперативной памяти.
      Кратко о Retbleed
      Retbleed, как и Spectre, эксплуатирует особенности так называемой системы предсказания ветвлений центрального процессора. Предсказание ветвлений позволяет процессору выполнять инструкции заранее, не дожидаясь результатов предыдущих вычислений. Иногда предсказание оказывается неправильным, но в норме это должно приводить только к небольшому и незаметному для пользователя замедлению работы программы.
      Атака Spectre в 2018 году показала, что неправильные предсказания могут быть использованы для кражи секретов. Это возможно благодаря двум ключевым особенностям. Во-первых, систему предсказания ветвлений можно натренировать так, что произойдет обращение к области памяти с секретными данными, и они будут загружены в кэш-память процессора. Во-вторых, был найден способ вытащить эти секретные данные из кэш-памяти по стороннему каналу, измеряя время выполнения определенной инструкции.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Подключенную к компьютеру веб-камеру обычно подозревают в подглядывании, но теперь ей придумали роль в традиционных кибератаках. На конференции Black Hat описали атаку BadCam, которая позволяет перепрошить камеру, а затем выполнять на компьютере, к которому она подключена, вредоносные действия. По сути это вариант давно известной атаки типа BadUSB, однако главное отличие BadCam заключается в том, что атакующим необязательно заранее готовить вредоносное устройство — они могут использовать изначально «чистую» и уже подключенную к компьютеру камеру. Еще одно неприятное новшество — атака может быть произведена полностью дистанционно. Хотя исследование провели этичные хакеры и BadCam еще не используется в реальных атаках, злоумышленникам будет несложно разобраться в ней и воспроизвести нужные действия. Поэтому организациям стоит понять механику BadCam и принять защитные меры.
      Возвращение BadUSB
      Атаку BadUSВ тоже представили на Black Hat, правда в 2014 году. Ее суть в том, что безобидное на вид устройство, например USB-накопитель, перепрограммируют, дополняя его прошивку. При подключении к компьютеру этот вредоносный гаджет «представляется» составным USB-устройством, имеющим несколько компонентов, таких как USB-накопитель, клавиатура или сетевой адаптер. Функции накопителя продолжают исправно работать, пользователь работает с флешкой как обычно. Одновременно скрытая часть прошивки, имитирующая клавиатуру, отправляет на компьютер команды, например клавиатурную комбинацию для запуска PowerShell и последующего ввода команд для загрузки из Сети вредоносных файлов или запуска туннеля к серверу атакующих. Функции BadUSB часто используют в работе современных red team, для этого обычно применяются специализированные «хакерские мультитулы» вроде Hak5 Rubber Ducky или Flipper Zero.
       
      View the full article
×
×
  • Создать...