Apples höchst umstrittene Technologie zur Suche nach bekannten Bildern von sexuellem Kindesmissbrauch (CSAM) auf den Geräten der Kundinnen und Kunden ist diese Woche erneut in die negativen Schlagzeilen geraten.
Wie sich herausstellte, ist die angekündigte Technik bereits in iOS 14.3 enthalten und wurde nun entdeckt. Mehr noch: Ein IT-Sicherheitsforscher konnte den «NeuralHash»-Algorithmus aus dem iPhone-Betriebssystem extrahieren.
Es deute alles darauf hin, dass es sich um den Algorithmus handelt, den Apple ab diesem Herbst für das Erkennen von bekannten Missbrauchsbildern einsetzen will.
Das Problem: Als andere IT-Spezialisten den «NeuralHash»-Algorithmus ausprobierten, kam es innert kürzester Zeit zu einer sogenannten «Hash Collision». Das heisst, Apples Algorithmus berechnete für zwei unterschiedliche Bilder den gleichen Hash-Wert. Im konkreten Anwendungsfall – also dem Erkennen von behördlich bekannten Missbrauchsfotos – hätte dies bedeutet, dass das System ein harmloses Bild für eine illegale Aufnahme gehalten und registriert hätte.
Der nächste Schritt bestehe darin, harmlose Bilder zu erzeugen, die von NeuralHash als verbotene Inhalte eingestuft werden, schreibt Tech Crunch. Sprich: Unabhängige IT-Experten wollen beweisen, dass Apples Foto-Scan-Technik manipuliert werden kann und darum höchst riskant ist.
Erste Tests zeigten gemäss Bericht von Tech Crunch auch, dass Apples Bilder-Vergleichs-Technik mit Grössenänderungen und Verkleinerungen von Bildern umgehen könne, aber nicht mit Beschneidungen oder Drehungen.
In einem Reddit-Beitrag vom Mittwoch schreibt der Entdecker, dass NeuralHash in iOS 14.3 bereits als verschleierter Code «existiert», aber er sei in der Lage gewesen, die Technologie mittels Reverse Engineering zu rekonstruieren.
Der Entwickler mit dem Namen Asuhariet Ygvar wandelte dann Apples NeuralHash in ein Python-Skript um und veröffentlichte den Code auf GitHub. Damit könne jeder die Technologie testen, unabhängig davon, ob man ein Apple-Gerät zum Testen besitze oder nicht, schreibt Tech Crunch.
Er tue dies, um anderen Sicherheitsforschern zu helfen, den Algorithmus besser zu verstehen, bevor Apple die Technik per Update offiziell auf iOS- und macOS-Geräte ausrolle.
Tatsächlich dauerte es denn auch nicht lange, bis andere an dem veröffentlichten Code herumbastelten, konstatiert Tech Crunch. Und schon bald habe es den ersten gemeldeten Fall einer «Hash-Kollision» gegeben. Das heisst, Apples NeuralHash-Algorithmus erzeugte für zwei völlig unterschiedliche Bilder denselben Hash-Wert.
Auch die Kryptografie-Expertin Sarah Jamie Lewis, Leiterin der kanadischen Non-Profit-Organisation Open Privacy Research Society, hat bereits fleissig mit dem geleakten NeuralHash-Algorithmus experimentiert. Die unabhängige IT-Sicherheitsexpertin demonstriert bei Twitter, dass unterschiedliche Bilder den gleichen Hash-Wert erhielten.
Ein Apple-Sprecher lehnte es gegenüber Tech Crunch ab, einen offiziellen Kommentar abzugeben.
In einem Hintergrundgespräch, in dem Journalisten mit Vertretern des Unternehmens sprechen konnten, aber diese in ihrer Berichterstattung nicht namentlich zitieren durften, habe Apple die «Hash-Kollision» heruntergespielt.
Die Apple-Vertreter argumentierten damit, dass die von Apple eingeführten Schutzmassnahmen – wie die manuelle Überprüfung von Fotos, bevor sie an die Strafverfolgungsbehörden gemeldet werden – dazu dienten, Missbrauch zu verhindern.
Apple habe auch gesagt, dass die Version von NeuralHash, die von Asuhariet Ygvar aus iOS 14.3 extrahiert wurde, eine generische Version sei und nicht die endgültige Version, die später in diesem Jahr auf den Markt komme.
Das Risiko, dass das System ein iCloud-Konto fälschlicherweise kennzeichnet und den Inhaber einer Ermittlung wegen des Besitzes von Kinderpornografie aussetzt, ist laut Apple äusserst gering. Darüber hinaus will das Unternehmen alle an die US-Kinderschutzorganisation NCMEC übermittelten Berichte überprüfen lassen, um die Richtigkeit sicherzustellen.
Gegenüber watson stellt Apple klar, dass NeuralHash nicht dazu gedacht sei, geheim zu sein. Man habe den Algorithmus absichtlich öffentlich gemacht, wie in der Sicherheitsdokumentation (PDF) beschrieben. Hier habe also kein «Reverse Engineering» stattgefunden.
Was die Problematik der Hash-Kollision betrifft: Definitionsgemäss können alle Wahrnehmungs-Hashes so manipuliert werden, dass zwei verschiedene Bilder gleich aussehen, gibt Apple zu bedenken. Das Erkennungssystem sei so konzipiert, dass es unter dieser ausdrücklichen Annahme sicher bleibe. Das geschilderte Beispiel einer Kollision sei absolut zu erwarten und untergrabe nicht die Sicherheit des Systems.
Es gibt laut Apple drei Möglichkeiten, wie das Erkennungssystem die Sicherheit gewährleistet und gleichzeitig mögliche Kollisionen in NeuralHash berücksichtigt:
Die Zuverlässigkeit von Apples NeuralHash-Algorithmus lässt sich nicht abschliessend beurteilen. Dies unter anderem auch deshalb, weil das Unternehmen zwar jeden einlädt, den eigenen Programmcode zu prüfen. Doch gleichzeitig kämpft es juristisch gegen Personen, die genau das tun: Apple geht laut einem aktuellen Bericht von «Technology Review» weiter gegen die US-Firma Corellium vor. Diese stellt Software her, die unabhängigen Sicherheitsforschern ermöglicht, Apples streng abgeschirmte System-Software zu prüfen.
Sicher ist: Die jüngsten Versuche unabhängiger IT-Experten tragen nicht zu einer Entkräftung der bereits geäusserten Bedenken gegen Apple geplante Kinder- und Jugendschutz-Tools bei. Vielmehr dürften noch mehr Alarmglocken läuten.
Zwischenfazit: Die geplante algorithmische Überwachung auf den Geräten der Kundinnen und Kunden erscheint nicht nur aus grundsätzlichen Überlegungen höchst fragwürdig. Auch in technischer Hinsicht ist Skepsis angebracht.
Mit der «Überwachung auf dem Gerät» ändere sich das Spiel, warnt die IT-Expertin Sarah Jamie Lewis.
Nicht nur Sicherheitsexperten, Bürgerrechtsgruppen und Journalisten zeigen sich besorgt über Apples Vorhaben. Zumindest in Deutschland hat Anfang Woche auch ein hochrangiger Politiker das Unternehmen aufgerufen, die Überwachungs-Technik nicht zu lancieren, sondern einzustampfen.
In einem offenen Brief an Apple-Chef Tim Cook kritisiert der Bundestagsabgeordnete Manuel Höferlin (FDP), der Vorsitzende des Ausschusses Digitale Agenda, die geplante Scan-Funktion untergrabe «vertrauliche Kommunikation».
Es scheint, als würde Tim Cook den Konzern mitsamt hunderten Millionen, ja Milliarden Kundinnen und Kunden in einen perfekten Sturm navigieren. Ausgang: ungewiss.
Wer sich für die Funktionsweise und technischen Details von Apples angekündigter Scan-Technik interessiert, sollte sich das Video des Zürcher YouTubers Yannic Kilcher anschauen. Er erklärt technisch Interessierten in verständlichen Worten (auf Englisch), wie das Scan-System aufgebaut ist.
In dem Video bezieht sich der Schweizer YouTuber auf die Angaben von Apple, die in dem Dokument «CSAM Detection – Technical Summary» enthalten sind (siehe Quellen). Der NeuralHash-Algorithmus wird ab Minute 14 erklärt. Demnach wird ein neuronales Netzwerk darauf trainiert, leicht veränderte Bilder (mit gleichem Inhalt) zuverlässig zu erkennen.
