CSAM: Erneuter Druck auf Apple - für die Einführung

[AndaleR]

@Jan Gruber Aber wo liegt der Unterschied, ob Apple auf dem Gerät oder in der Cloud „die Augen offen hält“? Überlege gerade, aber bei mir landet alles vom iPhone auch in der iCloud?

 

[saw]

Das erschreckende ist doch eher,
das Aiwanger es so lange unterdrücken konnte.
2008 hat er nachweislich eine Parteikollegin zu einem der Schüler geschickt,
die nachgefragt hat ob Aiwanger von ihm was zu befürchten hat.
Im selben Jahr hat die bayrische Staatskanzlei Nachforschungen zu Aiwanger eingeleitet,
die nachdem sich Aiwanger beschwert hat, abgebrochen wurden.

Mittlerweile haben sich mehrere Klassenkameraden, Mittschüler und Lehrer dazu geäußert, teils anonym, teils öffentlich und mindestens einer mit Eidesstattlicher Aussage.

Aiwanger hatte vor Veröffentlichung über 1 Woche Zeit sich zu äußern.
Er wurde 3x vorher dazu aufgefordert.
Beim 1. Mal, keine Reaktion,
beim 2. und 3. Mal hat er von einer Lügengeschichte erzählt und mit Klage gedroht.
Geschehen ist nichts.

Damals wurde er dabei erwischt, die antisemitischen Schriften zur Schule gebracht und verteilt zu haben,
jetzt, nach all den Jahren waren die angeblich vom Bruder.
Der hat übrigens in seinem Waffengeschäft Plakate zu dem Buch „Die verlorene Ehre der Katharina Blum“ von Heinrich Böll ausgehangen, da wird zum Schluss ein Journalist aus Rache erschossen.... bestimmt Zufall, welcher Waffenhändler hält keine Buchlesungen verstorbener Autoren?

Erst war es angeblich eine Lügenkampagne,
dann war das mit dem Flugblatt zwar wahr, aber lange her,
an Hitlergrüße und dass er "Mein Kampf" in der Schultasche rum getragen und rezitiert hat, das ist ihm nicht mehr erinnerlich...
jetzt ist es wieder eine reine Lügenkampagne und von ehrlicher Reue und Einsicht, absolut nicht zu hören oder zu lesen.
Im Gegenteil, er suhlt sich in der Opferrolle und Söder spielt sein Spiel mit, rein aus Machterhalt.

 

[Jan Gruber]

@Jan Gruber Aber wo liegt der Unterschied, ob Apple auf dem Gerät oder in der Cloud „die Augen offen hält“? Überlege gerade, aber bei mir landet alles vom iPhone auch in der iCloud?

Cloud kann ich nutzen, muss ich aber nicht - das ist die Entscheidung des Nutzers. Der Cloudinhaber entscheidet was er mit seiner Cloud macht, das findet "auf seiner Hardware statt", und was auf meiner Hardware statt findet will ich kontrollieren.

Ich kaufe für teuer Geld meine Hardware und möchte voll kontrollieren könne was da läuft und was nicht. Auf meiner Hardware hat ohne die Möglichkeit es zu kontrollieren nicht fremde Spyware zu laufen, die irgendwelche Behörden meldet - Punkt Da gehts mir echt ums Prinzip. Mir ist klar dass jetzt sofort Leute losrennen die schreien "Ah, der hat was zu verbergen" - ne hab ich nicht. Ich bin ITler, meine Hardware hat unversehrt zu sein und das ist so ne klassische Backdoor gegen die sich Apple sonst ja per se immer wehrt.

Später als der CSAM Quatsch kam ja die Chance Apple auch aus der Cloud jetzt auszusperren, inklusive FIDO Key, mache ich zb auch seit dem es geht (und bin sehr glücklich damit). Ich nutz auch aus Prinzip diese "Dödelclouds" nicht so wirklich sondern pcloud bzw Proton Drive ...

 

[MichaNbg]

@Jan Gruber Aber wo liegt der Unterschied, ob Apple auf dem Gerät oder in der Cloud „die Augen offen hält“? Überlege gerade, aber bei mir landet alles vom iPhone auch in der iCloud?

iCloud Sync kannst du abschalten. Und es macht einen Unterschied, ob ich nur Hashes gegen bekanntes Material prüfe (was an sich auch schon problematisch ist, aber immerhin keine Bildanalyse auf Inhalt erfolgt) oder ob ich on device jedes Bild analysiere und versuche zu erkennen, was da zu sehen ist. Egal ob ich es bewusst in die Cloud lade und ohne dass ich es abschalten kann.

Oder wäre es für die Menschen akzeptabel, dass jederzeit die eigenen vier Wände durchsucht und analysiert, dass Fotoalben regelmäßig auf Konformität überprüft werden?

Mit On Device Analyse kann ich dem nicht mal mehr durch Verschlüsselung zuvor kommen.

Zu Aiwanger, Kalkofe hat es eigentlich schön zusammengefasst:
„Ekelhaft, noch nie gesehen
…
Mein Schulranzen, stimmt
…
Nicht erinnerlich
…
Mein Bruder war's
…
falls ich doch dabei war, waren die linken Lehrer schuld
…
wahrscheinlich war ich's, war aber noch jung
…
Ja gut…
…
Linke Hetzkampagne wegen harmloser Jugendsünden!“

 

[frostdiver]

iCloud Sync kannst du abschalten.

In dem Fall hätte Apple bei dem damals geplanten CSAM-Scan auch nicht gescannt.

Und es macht einen Unterschied, ob ich nur Hashes gegen bekanntes Material prüfe (was an sich auch schon problematisch ist, aber immerhin keine Bildanalyse auf Inhalt erfolgt) oder ob ich on device jedes Bild analysiere und versuche zu erkennen, was da zu sehen ist.

Die Bildanalyse (Nacktscanner) ist nur eine "persönliche" Sache und wird nirgends gemeldet. Bei dem kontroversen Thema geht es auch nur um die Hashes von bekannten Bildern.
Der praktische Unterschied zum Online-Scan ist, dass ein CSAM-Scan und eine Ende-zu-Ende-Verschlüsselung (der "unverdächtigen" Bilder*) möglich ist.
Dass Apple auf dem Gerät scannt und es meldet, ist halt nur eine Überschreitung einer Grenze, die sich falsch anfühlt und wahrscheinlich nicht begangen werden sollte (?). Aber praktisch ist der Unterschied nicht groß ...

*Dieser Punkt ist mir nie ganz klar geworden, da zu dem damaligen Zeitpunkt von der Ende-zu-Ende-Verschlüsselung noch nicht die Rede war.

 

[Sequoia]

Zu Aiwanger,

Könntet Ihr das Thema evtl. in einem anderen Thread diskutieren? Wäre sehr verbunden.

 

[NorbertM]

Dass Apple auf dem Gerät scannt und es meldet, ist halt nur eine Überschreitung einer Grenze, die sich falsch anfühlt und wahrscheinlich nicht begangen werden sollte (?).

Das solte doch nur gemeldet werden, wenn so erkannte Bilder versendet oder irgendwo hochgeladen worden wären?

 

[frostdiver]

Der Check sollte durchgeführt werden, bevor das Foto zu iCloud Photos hochgeladen worden wäre. (Um dann bei wiederholten "positiven" Check ausgewertet zu werden)

 

[Benutzer 250503]

Der Check sollte durchgeführt werden, bevor das Foto zu iCloud Photos hochgeladen worden wäre. (Um dann bei wiederholten "positiven" Check ausgewertet zu werden)

was genau ändert sich jetzt daran? Das Apple das hochgeladene Material Server-seitig auf CSAM Hashübereinstimmung scannt und danach aktiv wird nach Schlüsselwert X Mal erwischt, durch Menschen oder Maschinen Kontrolliert, bewertet den Account sperrt und den Behörden weiterleitet?

Das ist Gesetz und wird von allen umgesetzt, der Knackpunkt sind nicht die CSAM Hashes sondern die Variabilität und Austauschbarkeit dieser Technik die nicht nur auf Bildmaterial festgenagelt ist.

Das was da in den Ansätzen schon seit Jahren funktioniert und als nettes Gimmick wie Gesichtserkennung in Fotos wahrgenommen wird, ist doch nur das Sahnehäubchen was die Neural-engine alles kann und schon tut.

 

[frostdiver]

was genau ändert sich jetzt daran? Das Apple das hochgeladene Material Server-seitig auf CSAM Hashübereinstimmung scannt und danach aktiv wird nach Schlüsselwert X Mal erwischt, durch Menschen oder Maschinen Kontrolliert, bewertet den Account sperrt und den Behörden weiterleitet?

Ich hab nur beschrieben, was der alte Plan war und dass der praktische Unterschied zum Scannen in der Cloud nicht sehr groß ist.
Jetzt wird es gar keinen Scan mehr von Bildern in der Fotobibliothek geben, da ja die Fotos mit der neuen Advanced Privacy Protection Ende-zu-Ende verschlüsselt auf dem Server landen.
Gescannt hat Apple vorher (und vermutlich weiterhin), soweit ich gelesen habe, nur Mails.

Das ist Gesetz und wird von allen umgesetzt,

Welches Gesetz? Wo? Vielleicht hast du einen Link?
Es sind einige weltweit in Arbeit, hauptsächlich auf Chats abzielend, die jegliche Ende-Zu-Ende-Verschlüsselung verhindern könnten.
Wenn es jetzt schon Gesetz wäre, bräuchte es doch die Initiative gar nicht auf dem dieser Thread basiert.

 

[Benutzer 250503]

Das tun seit 2014 eigentlich alle Cloudanbieter Server seitig bei MS via dem Tool PhotoDNA...
Wie gesagt der Aufreger war nur, dass Apple das Device-seitig umsetzten wollte.
Es ist im Prinzip vollkommen egal, wenn der ganze Rotz so oder in die Cloud gehoben wird vor allem bei amerikanischen Carriern ist dies so oder so Witzlos und wird durch den CloudAct nur noch besser abgeschmeckt für den wirklich cremigen Abgang

Konto-Sperrfalle OneDrive: Vorsicht vor dem Upload privater Fotos › Dr. Windows

Wir haben an dieser Stelle in den letzten Wochen mehrfach und intensiv über die Problematik berichtet, dass Microsoft-Konten gesperrt ...

www.drwindows.de

Microsoft-Kontensperrungen und die OneDrive ‚Nacktfotos‘

[English]Anwender, die ein Microsoft Konto für Microsoft Dienste oder in Windows 10 verwenden, tun gut daran, peinlich darauf zu achten, was vom OneDrive-Client auf ihren Online-Speicher in der Cloud…

www.borncity.com

 

[MichaNbg]

Also von nem „Gesetz“ dazu weiß ich jetzt auch nichts. Gibt es eine Quelle zu dieser Pflicht?

Grundsätzlich stimme ich nicht ganz zu, dass es nur um On Device ging. Das war natürlich eine noch größere Eskalation. Aber auch die (Heimliche) Einführung von PhotoDNA (oder einer ähnlichen Technik) war ein Problem, da es eben ganz krass gegen das andauernde „Privacy“-Gerede von Apple steht. „Wir scannen deine Daten nicht“, „wir analysieren deine Daten nicht“, usw usw usw

 

[access]

Ich war und bin immer noch ein Gegner des automatischen scannes von Bildern, ganz einfach weil die Technik den Unterschied zwischen harmlos und strafbar nicht kennt. Die Bilder der eigenen Kinder wird die KI nicht von anderen unterscheiden können und somit wird es eine Flut an falschen Meldungen geben und das geht einfach in die falsche Richtung.

 

[Jan Gruber]

Ich war und bin immer noch ein Gegner des automatischen scannes von Bildern, ganz einfach weil die Technik den Unterschied zwischen harmlos und strafbar nicht kennt. Die Bilder der eigenen Kinder wird die KI nicht von anderen unterscheiden können und somit wird es eine Flut an falschen Meldungen geben und das geht einfach in die falsche Richtung.

Und wir beginnen wieder beim Anfang, auch wenn wirs oft erklärt haben hier: So funktioniert das nicht.

Das Ding baut Hashes und vergleicht diese mit einer Datenbank wo ECHT HEFTIGER Scheiß, der definitiv strafbar ist, drinnen ist. Da in dieser Datenbank, die von ner Organisation kommt, die Kids nicht drinnen sind schlägt das nicht an. Ein Problem aber ist zb: Hashes sind ein Problem. Bild A und ein völlig anders aussehendes Bild B kann den gleichen Hash haben.

Grundsätzlich stimme ich nicht ganz zu, dass es nur um On Device ging. Das war natürlich eine noch größere Eskalation. Aber auch die (Heimliche) Einführung von PhotoDNA (oder einer ähnlichen Technik) war ein Problem, da es eben ganz krass gegen das andauernde „Privacy“-Gerede von Apple steht. „Wir scannen deine Daten nicht“, „wir analysieren deine Daten nicht“, usw usw usw

Naja je nach Argumentation, oder? CSAM war schon die On Device Geschichte und wäre für mich der Grund gewesen wo ich raus gewesen wäre. Damals gabs die iCloud-Key-weg-Geschichte ja auch noch nicht. Und damit hätten sie das große "What Happens on your iPhone Stays on your iPhone" gebrochen. Und mir eben mal ne Backdoor und Spyware aufs Phone geschoben ...

Jetzt wird es gar keinen Scan mehr von Bildern in der Fotobibliothek geben, da ja die Fotos mit der neuen Advanced Privacy Protection Ende-zu-Ende verschlüsselt auf dem Server landen.
Gescannt hat Apple vorher (und vermutlich weiterhin), soweit ich gelesen habe, nur Mails.

Apple scannt in der iCloud Fotos, und damals wie heute und das schon lang. Das müssen sie als Cloud Provider auch.
Das bezüglich Advances Privacy Protection stimmt - aka Apple weiß den Schlüssel auch nicht mehr - aber: Das müssen Nutzer:innen erst aktivieren, und ich bin mir sicher: Das machen sehr sehr sehr wenige. On Device scannen sie, nachdem CSAM abgesägt wurde, aber nicht bzw nur im Kinderfall mit dem iMessage Schutz

 

[MichaNbg]

Zur Ergänzung: bei einem positive wird durch ein menschliches Team nochmal drüber geschaut, ob es sich wirklich um einen Treffer handelt.

Was mir nicht bekannt ist: wird nur geprüft ob es sich um genau dieses eine Bild (oder einer Alterierung dessen, oder einem Ausschnitt …) handelt. Oder wird ggf. nochmal extra geprüft, ob man zufällig einen „frischen Treffer“ gefunden hat, weil bsp zufällig ein Foto deiner Zwerge in der Badewanne den Alarm ausgelöst hat?

PhotoDNA | Microsoft

PhotoDNA is used by organizations around the world and has assisted in the detection, disruption, and reporting of millions of child exploitation images.

www.microsoft.com

Und hier ein Beispiel, weshalb auch diese Technologie potentiell hochgefährlich für Bürger und die Gesellschaft ist:

Erst Kinderpornografie, jetzt „Extremismus“: Unternehmen sollen Uploadfilter von Microsoft installieren – netzpolitik.org

Ins Internet hochgeladenes Material könnte demnächst mit einem Uploadfilter von Microsoft auf „extremistische“ oder „radikalisierende“ Inhalte gescannt werden. Der Filter würde bei Internetunternehmen installiert, die nötigen Datenbanken könnten aber bei Polizeibehörden liegen.

netzpolitik.org

 

[Benutzer 250503]

Also von nem „Gesetz“ dazu weiß ich jetzt auch nichts. Gibt es eine Quelle zu dieser Pflicht?

Grundsätzlich stimme ich nicht ganz zu, dass es nur um On Device ging. Das war natürlich eine noch größere Eskalation. Aber auch die (Heimliche) Einführung von PhotoDNA (oder einer ähnlichen Technik) war ein Problem, da es eben ganz krass gegen das andauernde „Privacy“-Gerede von Apple steht. „Wir scannen deine Daten nicht“, „wir analysieren deine Daten nicht“, usw usw usw

ist eigentlich in den USA seit 1987 relevant der den Besitz und den Vertrieb solchen Materials in Abhängigkeit der Einstufung ziemlich genau sehr streng Reguliert.
Die Carrier sind seit etwa 2009 2010 ziemlich eng mit NCMEC in Zusammenarbeit und haben spezielle Tools im Einsatz ihre Bestände abzuklopfen und weiterzuleiten wenn etwas auf dem Radar aufscheint.

Und unsere Initiative der EU zum Thema Verschlüsselung und der in den Startlöchern stehen EARN IT Act als Würze für den Cloud Act ist das Sahnehäubchen.

 

[frostdiver]

Apple scannt in der iCloud Fotos, und damals wie heute und das schon lang. Das müssen sie als Cloud Provider auch.

Apple already scans iCloud Mail for CSAM, but not iCloud Photos - 9to5Mac

Apple has confirmed to me that it already scans iCloud Mail for CSAM, and has been doing so since 2019. It has not, however, been scanning ...

9to5mac.com

Die Fotos in Mail, nicht iCloud Photos. (So wie es aussieht). Das passt dann auch zu der geringen Anzahl von Meldungen durch Apple.

Und Scannen müssen sie per Gesetz nicht, sondern melden, wenn sie von so einem Vorfall Wissen erlangt haben.
Ein verpflichtendes Scannen soll aus diesem Gesetz ausdrücklich nicht abgeleitet werden. (weiter unten unter f)

18 U.S. Code § 2258A - Reporting requirements of providers

www.law.cornell.edu

 

[MichaNbg]

Das ist ja nett. Das heißt, um jemanden so richtig tief rein zu reiten, seine Reputation in Familie, Nachbarschaft und Kollegenkreis ein für alle mal zu zerstören, egal ob sich hinterher alles „aufklärt“, muss ich ihm nur eine E-Mail schicken?

Beim Scan von iCloud Photos kann einem wenigstens niemand fremdes was unterjubeln, was dann mir zugeordnet wird und bsp nach deutschem Recht sofort zu Ermittlungen inkl. Hausdurchsuchungen um sechs Uhr inkl. Beschlagnahme aller IT-Geräte (inkl. dem
geschäftlichen Notebook) führen kann …
(Von der wohl sofortigen Sperrung der Apple ID ganz abgesehen)

Sollte einem nochmal zu denken geben, iCloud Mail zu nutzen …

 

[Benutzer 250503]

Und Scannen müssen sie per Gesetz nicht, sondern melden, wenn sie von so einem Vorfall Wissen erlangt haben.
Ein verpflichtendes Scannen soll aus diesem Gesetz ausdrücklich nicht abgeleitet werden. (weiter unten unter f)

sie haben sich aber durch die Problematik "Unwissenheit schützt vor Strafe nicht "seit 2010 dazu bereit erklärt um eben nicht in Erklärungsnot zu kommen. Es sind nicht nur die Mails davon betroffen sondern der komplette Cloud-content.

Sie können sich dabei auf nichts einlassen um nicht in das Schussfeld der Gerichte und Medien zu kommen

 

[access]

Somit, Finger weg von den Cloud-Diensten Apples, wie @MichaNbg schreibt ist das dünnes Eis. Ist man erst mal in die Mühle geraten ist die Reputation zerstört, der Job weg und die Zukunft im Orkus. Das einzige was man mit dieser Technik tun sollte ist sie zu verbieten, wehret den Anfängen!