iOS15的新安全策略，让苹果受到疯狂抵制

　　目录
　　•iMessage
　　•CSAM检测
　　•Siri和搜索
　　苹果上星期宣布了一项针对美国地区的新策略，在即将推出的iOS 15、iPadOS 15、watchOS 8、macOS Monterey加入一个新功能，具体做法是扫描照片，检查是否是CSAM (Child Sexual Abuse Material)内容。很多人听了，认为是个好事，利用技术来保护儿童，这是科技公司应尽的责任。但一看苹果的官方声明，要在手机本地扫描照片，瞬间就觉得不太对劲。
　　这项新的技术，首先引起了安全圈的强烈反对，之后一份4000多人署名的公开信开始在网络上流传，表达了对苹果新策略的担忧。愈演愈烈，更多人开始反对抵制，并给iPhone打上了spyPhone的标签。
　　反对的声音中，首当其冲的理由就是苹果给隐私安全开了后门。
　　咱们可以依次看下这个新功能，它主要在三个方面起作用：  iMessage
　　在iMessage里，如果孩子的手机收到裸露照片时，照片会被模糊，如果孩子看了照片，父母会收到信息，如果孩子发了这样的照片，也是同样的，发之前，苹果会警告，发了之后，父母会收到信息提示。
　　这个功能面向13岁以下的儿童，而且是iCloud家庭用户，苹果称是由手机上的机器学习来分析照片，这个功能已经使用相关部门资料库的200000张图片进行了训练，而苹果是没有权限看消息内容的。
　　我们都知道，iMessage是端到端加密，和很多通信软件一样，主打安全，现在呢，它依然是端到端加密，但苹果的这项技术绕过加密，可以做到检测手机里的内容， 这也就说明，苹果完全有能力对其他照片内容进行核查，而且用户完全感知不到。这就有点开后门的意思了。
　　除了这项技术对公众隐私产生的隐患，其实苹果对13岁以下儿童的检测到底能不能起到保护作用是个疑问，而且13岁以上的青少年不管了吗，13这个年龄设定其实没啥科学依据。  CSAM检测
　　这个功能是为了检测传送到iCloud的照片是否是CSAM内容。苹果说为了保护用户隐私，扫描照片不是在云上进行，而是在本地，这里苹果确实没有说谎。
　　美国的法律是要求科技公司及时举报儿童性虐案件的，多年以来，苹果也一直在使用哈希系统扫描虐待儿童的图像，只不过扫描的是电子邮件的内容。很多有云存储平台也是用相似的技术。但对比各家公司，苹果举报的案件是最少的。 去年，Facebook报告了2030万起案件，苹果只报道了265起，为啥呢，苹果以隐私为由，不扫描iCloud里的照片。
　　那么苹果目前的扫描是咋做到的呢？利用NCMEC(国家失踪和被剥削儿童中心)和其他保护组织提供的数据库的哈希值，与本地照片的哈希值做对比。当然，为了安全，苹果也要再做一次哈希计算，这些数据库的哈希值会放到本地设备上。
　　在用户的图片上传iCloud之前，设备会在本地做哈希匹配。苹果声称，整个匹配的过程都不会泄露结果，而是产生一个伴随图片的安全凭证上传到iCloud。上传后的照片是不会被看到的，除非超过安全阈值，到了这一步由人工介入进行审查，禁用账户，提交报告给NCMEC，如果核实结果一致，再由审核员联系执法部门。
　　苹果同样声明，如果一个照片不匹配CSAM数据库，苹果是不会识别其中的信息的，即使超过了阈值，也只会检查与CSAM相匹配的照片，别的照片不会查看。而且苹果对这套算法很有信心，错误标记用户的概率极低每年只有万亿分之一，所有人工审核的报告只会给政府机构。
　　其实解释了这么多，用户看到的还是苹果要对手机进行本地扫描。
　　苹果当年为了隐私保护，连FBI要求解锁嫌疑犯的手机都给拒绝了。最后FBI与一家澳大利亚的安全公司合作，利用Lightning端口的漏洞才破解了iPhone。安全部门一直希望苹果公司建立一个能越过密码的系统，方便他们工作，但苹果从来都是态度强硬的拒绝，树立了一个非常高大形象，你完全可以信任苹果。
　　前段时间，大家还津津乐道苹果的App Tracking Transparency，保护用户的隐私不会被泄露到广告商那里，而现在苹果要直接扫描用户的设备。
　　不但本地扫描，还有人工介入，大多数用户看到这些具体方式都会觉得不可思议。 而且这是一项系统功能，意味着未来所有安装了新系统的用户全都得被动接受。 有越来越多的用户要求苹果做出更详尽的解释。
　　苹果多次强调，放在本地的数据库是哈希值，很安全。但斯坦福大学的研究人员称，虽然是哈希值，但只要放在本地就有风险，一个是逆向工程，破解CSAM的数据库内容，另一个风险就是绕过哈希的匹配功能。
　　一众大公司都按照法律要求，直接在服务器端扫描是否存在CSAM内容，为啥苹果不在iCloud端搞呢，非要引起争议？苹果就是要走在法律前面吗？
　　苹果一直声称是不对iCloud进行扫描的，有人猜测，苹果之后会对iCloud进行端到端加密，让其变成最安全的云服务，但这样做之后，从iCloud匹配照片将变得极为困难，所以苹果发明了这种新的方式，在本地进行扫描，也是为了应对执法部门的要求。  Siri和搜索
　　当用户在向Siri询问如何报告CSAM内容时，Siri会给出指示，告诉用户如何举报这些内容。如果用户主动搜索这些内容，会被干预。
　　斯坦福大学的研究院称，这个功能或许是后加的，用处不是很大，Siri做的就是给你一份文档，里面给你相关机构的地址和联系方式。  你的手机从不属于你
　　苹果以前有个口号＂What happens on your iPhone stays on your iPhone＂。 但安全研究人员却说，手机从某种程度上来说根本不是用户的。
　　很多人都觉得，只要没上传到云端，我就能控制手机里的数据。苹果打翻了这个错觉，或者说，用户突然醒悟到，手机虽然我拿着，但数据我是真的控制不了，突然就慌了。前几个月，你打开一个新App，苹果弹框问你，是否允许跟踪。你非常爽快的点了否，觉得数据掌握在自己手里真安心。现在呢，苹果告诉你他得扫描你的照片。先是懵逼，然后是愤怒，苹果是不是耍我呢，这就是现在发生的事情。
　　人们从渴望万物互联，到恐惧，短短不到几十年。我发现很多国外的工具类软件将本地存储都做成了一个亮点。其实这个功能的背后，正是目前大众对隐私的担忧。  所以这次抵制苹果的行动中又有另一个口号，让隐私回归隐私。
　　用户厌倦了「隐私」的市场化，它变成了一个产品的卖点和亮点，难道这不是人应 有的权利吗。
　　END
　　作者：电丸胡主编
　　校对：Jack
　　本文仅代表作者个人观点