Die Diskussionen um Apples angekündigten Kinderporno-Scan “CSAM” reißt nicht ab. Journalisten-Verbände aus Deutschland, Österreich und Schweiz schrieben einen offenen Brief an die Politik, 90 Bürgerrechtsorganisationen protestieren gemeinsam gegen Apples Pläne, Datenschützer rund um die Welt sind besorgt. Bislang geht es aber eher um moralische Bedenken und allgemeine Sorgen um die Entwicklung der Privatsphäre. Ganz konkret kommen nun noch Bedenken bezüglich der Sicherheit des Systems, das Apple für die Auswertung von Bildern verwenden möchte. Apple will künftig Fotos, die in der iCloud gesichert sind, per Algorithmus mit einer Datenbank von kinderpornografischen Fotos abgleichen und bei Treffern die Strafverfolgungsbehörden einschalten.
Apples NeuralHash analyisiert: Kinderporno-Scan offenbar seit iOS 14.3 aktiv
Github-Nutzer findet Schwachstelle in Hash-Generierung
Wie Vice berichtet , behauptet ein GitHub-Nutzer, bereits eine Schwachstelle im CSAM-Scan entdeckt zu haben. Der Nutzer dxoigmn veröffentlichte zwei unterschiedliche Fotos in dem Forum, denen das iPhone beiden den selben Hash-Wert zuordnet. Hash-Werte sollen im CSAM-Scan genutzt werden, um Fotos mit Darstellungen von Kinderpornografie aus der Datenbank des amerikanischen National Center for Missing and Exploited Children abzugleichen. Sollte die Generierung von Hash-Werten nicht einwandfrei funktionieren oder austricksbar sein, wäre das ein signifikantes Problem für den CSAM-Scan.
Apple reagiert auf Kritik
Apple hat bereits auf die Kritik reagiert und macht deutlich, dass die vom Nutzer untersuchte Software der Hash-Generierung nicht der finalen Version entspricht, die im CSAM-Scan Anwendung finden soll. Außerdem macht Apple klar, dass der Neural-Hash-Algorithmus, durch den die Hash-Werte erstellt werden, als Teil des signierten Betriebssystem öffentlich sein wird. Somit sollen Sicherheitsexperten in der Lage sein, die Technologie und deren Funktionsweise zu untersuchen, um sicherzustellen, dass das System wie gewünscht funktioniert. Um Fehler noch weiter auszuschließen, soll das System erst nach 30 Treffern Alarm schlagen und einem Apple-Team die verdächtigen Fotos zur menschlichen Überprüfung weiterleiten.
Experten sehen mögliche Gefahren
Matthew Green, Dozent für Kryptographie an der John-Hopkins-University, ist trotz Apples Darlegungen skeptisch. Gegenüber Motherboard macht er deutlich: “Wenn es für diese Funktion Kollisionen gibt, erwarte ich, dass sie auch in dem System existieren, das Apple schließlich aktiviert.” Zwar sei es durchaus möglich, dass Apple noch Veränderungen an der Hash-Generierung vornehme, der Beweis für die Anfälligkeit des Systems bleibe aber bestehen.
Ryan Duff, Direktor für Cyper-Produkte beim Onlinesicherheitsunternehmen SIXGEN, erklärt in einem Online-Chat die möglichen Gefahren solcher Anfälligkeiten:
Autor: Kris Wallburg, Redakteur
Kris schreibt besonders gerne über Gaming und Hardware, fühlt sich aber in fast jedem Technik-Thema zuhause.