Apple กล่าวว่านักวิจัยสามารถตรวจสอบคุณสมบัติความปลอดภัยของเด็กได้ มันฟ้องสตาร์ทอัพที่ทำแบบนั้น
เมื่อ Apple ประกาศ เทคโนโลยีใหม่ ที่จะ ตรวจสอบบริการ iCloud ของสหรัฐอเมริกาเพื่อหาสื่อการล่วงละเมิดทางเพศเด็กที่รู้จัก ได้รับการวิพากษ์วิจารณ์อย่างดุเดือดเกี่ยวกับความกังวลว่าคุณลักษณะ อาจถูกนำไปใช้ในทางที่ผิดเพื่อการเฝ้าระวังของรัฐบาลในวงกว้าง ต้องเผชิญกับการต่อต้านจากสาธารณชน Apple ยืนยันว่าเทคโนโลยีของตนสามารถรับผิดชอบได้
“นักวิจัยด้านความปลอดภัยสามารถครุ่นคิดถึงสิ่งที่เกิดขึ้นใน Apple ได้อย่างต่อเนื่อง ซอฟต์แวร์” Craig Federighi รองประธาน Apple กล่าวในการให้สัมภาษณ์ กับ Wall Street Journal “ดังนั้น หากมีการเปลี่ยนแปลงใด ๆ ที่จะขยายขอบเขตของสิ่งนี้ในทางใดทางหนึ่ง—ในแบบที่เรามุ่งมั่นที่จะไม่ทำ—มีการตรวจสอบได้ พวกเขาจะสังเกตเห็นสิ่งที่เกิดขึ้นได้”
Apple กำลังฟ้องบริษัทที่ผลิตซอฟต์แวร์เพื่อให้นักวิจัยด้านความปลอดภัยทำอย่างนั้นได้
ในปี 2019 Apple ยื่นฟ้อง Corellium ซึ่งช่วยให้นักวิจัยด้านความปลอดภัยทดสอบอุปกรณ์มือถือในราคาถูกและง่ายดายด้วยการเลียนแบบซอฟต์แวร์แทนที่จะทำ กำหนดให้เข้าถึงอุปกรณ์ทางกายภาพ ซอฟต์แวร์ซึ่งจำลองอุปกรณ์ Android ก็สามารถนำมาใช้เพื่อแก้ไขปัญหาเหล่านั้นได้
ในคดีความ Apple โต้เถียง ที่ Corellium ละเมิดลิขสิทธิ์ ทำให้สามารถขายซอฟต์แวร์ที่หาประโยชน์จากการแฮ็กได้ และไม่ควรมีอยู่จริง การเริ่มต้นโต้เถียงโดยบอกว่าการใช้รหัสของ Apple เป็นกรณีการใช้งานที่เหมาะสมที่ได้รับการคุ้มครองแบบคลาสสิก ผู้พิพากษาได้เข้าข้าง Corellium เป็นส่วนใหญ่ ส่วนหนึ่งของคดีสองปีคือ ยุติเมื่อสัปดาห์ที่แล้ว—วันหลังจากที่มีข่าวเกี่ยวกับเทคโนโลยี CSAM ของบริษัทเผยแพร่สู่สาธารณะ
ในวันจันทร์ Corellium ได้ประกาศ เงินช่วยเหลือ 15,000 ดอลลาร์สำหรับโปรแกรมที่ได้รับการส่งเสริมเป็นพิเศษเพื่อเป็นแนวทางในการดู iPhones ภายใต้กล้องจุลทรรศน์และถือ Apple รับผิดชอบ เมื่อวันอังคารที่ผ่านมา Apple ได้ยื่นอุทธรณ์ ดำเนินคดีต่อไป
ในการให้สัมภาษณ์ Matt Tait ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการของ Corellium กับ MIT Technology Review กล่าวว่าความคิดเห็นของ Federighi ไม่ตรงกับความเป็นจริง
“นั่นเป็นสิ่งที่ถูกมากสำหรับ Apple ที่จะพูด” เขากล่าว . “มีการยกของหนักขึ้นมากมายในคำแถลงนั้น”
“iOS ได้รับการออกแบบในลักษณะที่ยากจริงๆ สำหรับคนที่จะตรวจสอบบริการของระบบ”
“iOS ได้รับการออกแบบ ในลักษณะที่ยากมากสำหรับคนที่จะทำการตรวจสอบบริการของระบบ”
Matt Tait, Corellium
เขาไม่ได้เป็นเพียงคนเดียวที่โต้แย้งตำแหน่งของ Apple
“Apple พูดเกินจริงความสามารถของนักวิจัยในการตรวจสอบระบบในฐานะที่เป็น ทั้งหมด” David Thiel ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Internet Observatory ของ Stanford กล่าว Thiel ผู้เขียนหนังสือชื่อ iOS Application Security, ทวีต ว่าบริษัททุ่มหนักเพื่อป้องกันสิ่งเดียวกัน การอ้างสิทธิ์เป็นไปได้
“มันต้องใช้ระบบที่ซับซ้อนของการหาประโยชน์ที่มีมูลค่าสูง ไบนารีที่มาอย่างน่าสงสัย และอุปกรณ์ที่ล้าสมัย” เขาเขียน “Apple ได้ใช้เงินจำนวนมหาศาลเพื่อป้องกันสิ่งนี้และทำให้การวิจัยนั้นยากขึ้น”
ความรับผิดชอบในการเฝ้าระวัง
หากคุณ ต้องการทราบว่าเทคโนโลยีใหม่ที่ซับซ้อนของ Apple ทำงานอย่างไร คุณไม่สามารถดูภายในระบบปฏิบัติการบน iPhone ที่คุณเพิ่งซื้อที่ร้านค้าได้ วิธีการรักษาความปลอดภัย “สวนที่มีกำแพงล้อมรอบ” ของบริษัทได้ช่วย แก้ปัญหาพื้นฐานบางอย่าง แต่ยังหมายความว่าโทรศัพท์ได้รับการออกแบบมาเพื่อไม่ให้ผู้มาเยี่ยมชมไม่ว่าพวกเขาจะต้องการหรือไม่ก็ตาม
(โทรศัพท์ Android นั้นมีความแตกต่างกันโดยพื้นฐาน แม้ว่า iPhone จะถูกล็อคอย่างมีชื่อเสียง สิ่งที่คุณต้องทำเพื่อปลดล็อค Android ก็คือเสียบอุปกรณ์ USB ติดตั้งเครื่องมือสำหรับนักพัฒนา และได้รับการเข้าถึงรูทระดับบนสุด)
วิธีการของ Apple หมายถึงนักวิจัยถูกขังอยู่ในการต่อสู้ที่ไม่รู้จบกับบริษัทเพื่อพยายามเข้าถึงระดับความเข้าใจที่พวกเขา ต้องการ.
มีวิธีที่เป็นไปได้บางประการที่ Apple และนักวิจัยด้านความปลอดภัยสามารถตรวจสอบได้ว่าไม่มีรัฐบาลใดกำลังสร้างอาวุธให้กับคุณลักษณะด้านความปลอดภัยสำหรับเด็กใหม่ของบริษัท
Apple สามารถมอบรหัสให้ตรวจสอบได้แม้ว่าจะไม่ใช่สิ่งนี้ก็ตาม มันบอกว่าจะทำ นักวิจัยยังสามารถลองวิศวกรรมย้อนกลับคุณลักษณะในลักษณะ “คงที่” นั่นคือโดยไม่ต้องรันโปรแกรมจริงในสภาพแวดล้อมจริง
อย่างไรก็ตาม ตามความเป็นจริงแล้ว ไม่มีวิธีใดที่ทำให้คุณดูโค้ดที่รันบน iPhone เวอร์ชันล่าสุดเพื่อดูว่ามันทำงานอย่างไรในไวด์ แต่พวกเขายังคงพึ่งพาความไว้วางใจไม่เพียงแค่ว่า Apple เป็นคนเปิดเผยและซื่อสัตย์เท่านั้น แต่ยังต้องเขียนโค้ดโดยไม่มีข้อผิดพลาดหรือการกำกับดูแลที่สำคัญใดๆ
ความเป็นไปได้อีกประการหนึ่งคือการให้สิทธิ์การเข้าถึงระบบแก่สมาชิกของโปรแกรมอุปกรณ์วิจัยความปลอดภัยของ Apple เพื่อยืนยันคำชี้แจงของบริษัท แต่กลุ่มนั้น Thiel โต้แย้งว่าประกอบด้วยนักวิจัยจากภายนอก Apple ที่ถูกผูกมัดด้วยกฎเกณฑ์มากมายเกี่ยวกับสิ่งที่พวกเขาสามารถพูดหรือทำซึ่งไม่จำเป็นต้องแก้ปัญหาเรื่องความไว้วางใจได้
“Apple ใช้เงินจำนวนมากในการพยายามป้องกันผู้คน จากความสามารถในการเจลเบรคโทรศัพท์”
David Thiel, Stanford Internet Observatory
นั่นเหลือเพียงสองตัวเลือกจริงๆ ประการแรก แฮกเกอร์สามารถแหกคุก iPhone เครื่องเก่าได้โดยใช้ช่องโหว่ซีโร่เดย์ นั่นเป็นเรื่องยากและมีราคาแพง และสามารถปิดตัวลงได้ด้วยแพตช์ความปลอดภัย
“Apple ใช้เงินจำนวนมากเพื่อพยายามป้องกันไม่ให้ผู้คนสามารถใช้โทรศัพท์ที่เจลเบรคได้ ” ธีลอธิบาย “พวกเขาจ้างคนจากชุมชนแหกคุกโดยเฉพาะเพื่อทำให้การแหกคุกยากขึ้น”
หรือนักวิจัยสามารถใช้ iPhone เสมือนที่สามารถปิดคุณสมบัติความปลอดภัยของ Apple ได้ ในทางปฏิบัติ นั่นหมายถึง Corellium
นอกจากนี้ยังมีข้อจำกัดว่านักวิจัยด้านความปลอดภัยใด ๆ จะสามารถสังเกตได้ แต่ถ้า Apple สแกนสิ่งต่าง ๆ นอกเหนือจากรูปภาพที่แชร์ไปยัง iCloud นักวิจัย อาจจะสามารถระบุได้ว่า
อย่างไรก็ตาม หากมีสิ่งอื่นใดนอกเหนือจากเนื้อหาเกี่ยวกับการล่วงละเมิดเด็กเข้าไปในฐานข้อมูล นักวิจัยจะมองไม่เห็นสิ่งนั้น เพื่อตอบคำถามนั้น Apple กล่าวว่าต้องการให้องค์กรคุ้มครองเด็กสองแห่งแยกกันในเขตอำนาจศาลที่แตกต่างกันมีภาพการละเมิดเดียวกันในฐานข้อมูลของตนเอง แต่ได้ให้รายละเอียดเล็กน้อยเกี่ยวกับวิธีการทำงาน ใครจะเป็นผู้ดำเนินการฐานข้อมูล เขตอำนาจศาลใดจะเกี่ยวข้อง และแหล่งที่มาของฐานข้อมูลคืออะไร
ปัญหาที่แท้จริง
Thiel ชี้ให้เห็นว่าปัญหาที่ Apple พยายามแก้ไขนั้นเป็นเรื่องจริง
“ไม่ใช่เรื่องที่น่ากังวลทางทฤษฎี” เขากล่าวถึงเนื้อหาเกี่ยวกับการล่วงละเมิดทางเพศเด็ก . “ไม่ใช่สิ่งที่ผู้คนนำมาเป็นข้ออ้างในการนำการเฝ้าระวังไปใช้ เป็นปัญหาที่เกิดขึ้นจริงที่แพร่หลายและจำเป็นต้องแก้ไข การแก้ปัญหาไม่เหมือนการกำจัดกลไกประเภทนี้ มันทำให้พวกเขาไม่สามารถซึมผ่านได้มากที่สุดสำหรับการละเมิดในอนาคต”
แต่ Tait จาก Corellium กล่าวว่า Apple พยายามที่จะล็อคและโปร่งใสพร้อมกัน
“Apple พยายามที่จะมีเค้กของพวกเขาและกินมันด้วย” Tait อดีตผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลของหน่วยข่าวกรองอังกฤษ GCHQ กล่าว
“ด้วยมือซ้ายของพวกเขา พวกเขาทำให้การแหกคุกยากและฟ้องบริษัทอย่าง Corellium เพื่อป้องกันไม่ให้พวกเขามีอยู่ ตอนนี้พวกเขาพูดด้วยมือขวาว่า ‘โอ้ เราสร้างระบบที่ซับซ้อนจริงๆ ขึ้นมา และปรากฏว่าบางคนไม่เชื่อว่า Apple ได้ทำอย่างตรงไปตรงมา แต่ก็ไม่เป็นไร เพราะนักวิจัยด้านความปลอดภัยทุกคนสามารถดำเนินการพิสูจน์ได้ ตัวเอง.’”
“ฉันกำลังนั่งคิดอยู่ คุณหมายความว่ายังไงที่ทำแบบนี้? คุณได้ออกแบบระบบของคุณเพื่อที่จะไม่สามารถทำได้ เหตุผลเดียวที่ผู้คนสามารถทำสิ่งนี้ได้ก็คือทั้งๆ ที่ตัวคุณ ไม่ใช่เพราะคุณ”
Apple ไม่ตอบสนองต่อการร้องขอความคิดเห็น
Thiel ชี้ให้เห็นว่าปัญหาที่ Apple พยายามแก้ไขนั้นเป็นเรื่องจริง
“ไม่ใช่เรื่องที่น่ากังวลทางทฤษฎี” เขากล่าวถึงเนื้อหาเกี่ยวกับการล่วงละเมิดทางเพศเด็ก . “ไม่ใช่สิ่งที่ผู้คนนำมาเป็นข้ออ้างในการนำการเฝ้าระวังไปใช้ เป็นปัญหาที่เกิดขึ้นจริงที่แพร่หลายและจำเป็นต้องแก้ไข การแก้ปัญหาไม่เหมือนการกำจัดกลไกประเภทนี้ มันทำให้พวกเขาไม่สามารถซึมผ่านได้มากที่สุดสำหรับการละเมิดในอนาคต”
แต่ Tait จาก Corellium กล่าวว่า Apple พยายามที่จะล็อคและโปร่งใสพร้อมกัน
“Apple พยายามที่จะมีเค้กของพวกเขาและกินมันด้วย” Tait อดีตผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลของหน่วยข่าวกรองอังกฤษ GCHQ กล่าว
“ด้วยมือซ้ายของพวกเขา พวกเขาทำให้การแหกคุกยากและฟ้องบริษัทอย่าง Corellium เพื่อป้องกันไม่ให้พวกเขามีอยู่ ตอนนี้พวกเขาพูดด้วยมือขวาว่า ‘โอ้ เราสร้างระบบที่ซับซ้อนจริงๆ ขึ้นมา และปรากฏว่าบางคนไม่เชื่อว่า Apple ได้ทำอย่างตรงไปตรงมา แต่ก็ไม่เป็นไร เพราะนักวิจัยด้านความปลอดภัยทุกคนสามารถดำเนินการพิสูจน์ได้ ตัวเอง.’”
“ฉันกำลังนั่งคิดอยู่ คุณหมายความว่ายังไงที่ทำแบบนี้? คุณได้ออกแบบระบบของคุณเพื่อที่จะไม่สามารถทำได้ เหตุผลเดียวที่ผู้คนสามารถทำสิ่งนี้ได้ก็คือทั้งๆ ที่ตัวคุณ ไม่ใช่เพราะคุณ”
Apple ไม่ตอบสนองต่อการร้องขอความคิดเห็น
