אפל רוצה לזהות תכנים פדופיליים ופותחת קופת שרצים

בעולם כיום קיים מתח מסוים בין הרצון של משתמשים לשמור על פרטיות המידע שלהם, לבין השאיפה ההגיונית של ארגוני אכיפת חוק לברור מבין המידע הזה תוכן מסוכן, ובפרט תכני פדופיליה, ולהביא את המחזיקים בו ואת המשתפים אותו לדין. ראינו את זה בוויכוח בין גופים כאלו למפתחות אפליקציות מסרים מידיים כמו ווטסאפ וסיגנל: בעוד האחרונות מיישמות ביישומיהן הצפנה מלאה קצה-אל-קצה, שמאפשרת רק למשתתפי השיחה לראות את תוכנה, מזהירים אנשי חוק ומשטרה שמערכות אלו פוגעות ביכולתם לעצור פיגועים ולתפוס פדופילים שפוגעים בילדים.

אפל, שהפכה את פרטיות המשתמשים לנקודת השיווק המרכזית שלה, נשארה במידה רבה מחוץ לוויכוח. בין השאר, מכיוון שהיא לא מפעילה פלטפורמה לשיתוף תוכן, אם כי החברה זכתה לביקורת מצד גופי אכיפת חוק על ההצפנה המלאה והחזקה של מכשיריה. היכולות של אפל בתחום מוגבלות בגלל האופי הפרסונלי של הפלטפורמה שלה, וב-2020 היא דיווח לרשויות בארה"ב על 265 מקרים בלבד של תוכן פדופילי שאתרה (ככל הנראה, תמונות שהעלו משתמשים לשירות iCloud), לעומת 20.3 מיליון דיווחים של פייסבוק.

ואולם בסוף השבוע הודיעה אפל על פיתוח משמעותי בעל השלכות מפחידות, שיאפשר לדבריה לסרוק תמונות משתמשים תוך שמירה מלאה על פרטיותם, אך גם באופן שיאפשר לזהות תכנים פדופיליים ולדווח עליהם לרשויות. המהלך מפלג מומחים בתחום באשר ליעילותו ומסוכנתו, ומדגיש את הקושי שיש לכל חברה, אפילו בעלת משאבים ויצירתית כמו אפל, להתממודד עם הרצונות הלפעמים מנוגדים לתפוס פדופילים מחד ולהגן על פרטיות משתמשים מאידך.

"הצורך לנטר תכנים לא חוקיים – במיוחד בקצוות שלהם, כמו פורנוגרפיה של ילדים – ולהעבירם לרשויות אכיפת החוק, הוא צורך קיים", אמרה לדו"ח טכנולוגי ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. "כשזה מתרחש ברשתות חברתיות פתוחות זה פחות מפריע לנו. כשזה מתרחש ברשתות P2P כמו ווטסאפ, בתכנים שנמצאים על שירותי ענן, ובמכשירים האישיים שלנו  - הוא הופך למעורר מחלוקת. מצד אחד מדובר בתכנים שהובטח לנו שיהיו מוצפנים וההגנה על הפרטיות בהם חיונית. מצד שני, רשויות החוק דורשות מהפלטפורמות הדיגיטליות להיות שומרות החומות ולקחת אחריות על תופעות מזעזעות".

יש הרבה בלבול בדיווחים השונים בנושא, ולכן חשוב קודם להבין מה אפל עושה בדיוק. החברה תשלב בפלטפורמות ובמכשירים שלה שתי מערכות נפרדות של סריקת תמונות. הראשונה, כלי להורים שיאפשר להם לקבל אזהרה אם ילדיהם מקבלים או שולחים תמונות עירום באפליקציית המסרים המיידיים של החברה, Messages. מדובר בכלי סריקה מבוסס למידת מכונה שמופעל מקומית על המכשיר. היא תהיה זמינה למשפחות עם חשבונות iCloud משותפים, ותופעל רק אם ההורים יבחרו בכך.

ד"ר תהילה שוורץ אלטשולר

כשתופעל, המערכת תסרוק על גבי המכשיר את כל התמונות שמתקבלות ונשלחות באמצעות Messages. אם יקבל הילד תמונה שזוהתה כתמונת עירום או בעלת תוכן מיני, התמונה תטושטש ויוצג מסך אזהרה לפני צפייה בתמונה. אם יבחר הילד לצפות בתמונה, ההורה יקבל התרעה על כך (אך לא את התמונה עצמה). הגנה דומה קיימת במקרה של שליחת תמונה: הילד יוזהר לפני שהתמונה נשלחת, וההורה יקבל התרעה אם הילד יבחר לשלוח אותה. בשום שלב אין לאפל גישה לתוכן ההודעות או לתמונות. זו המערכת הפחות בעייתית מבין השתיים שהציגה אפל.

השנייה מורכבת יותר, ונועדה לזהות תמונות שכוללות פדופיליה והתעללות מינית בילדים על הפלטפורמה של החברה. היא מבוססת על שילוב סבוך בין סריקה מקומית לניתוח בענן ובדיקה אנושית, במטרה לדווח על תמונות שכאלו למרכז הלאומי לילדים נעדרים ומנוצלים בארה"ב (NCMEC). התמונות עצמן לא יסרקו בענן. במקום זאת, על גבי כל מכשיר יאוחסן מאגר מידע של מידע גיבוב ויזואלי (Perceptual Hash) של תמונות פדופיליה שמתחזק ה-NCMEC. מדובר במידע שמהווה מעין טביעת אצבע ייחודית של תמונה, ושמופק באמצעות סריקת תמונות וחילוץ מאפיינים שונים שלא כוללים את תוכן התמונה עצמה. טביעת אצבע זו יכולה לזהות תמונה גם אם נעשו בה שינויים שונים כמו שינוי גודל או חיתוכים. אפל עצמה תהפוך את המאגר לסט של מידע לא מגובב, שמאוחסן על המכשיר.

המערכת תופעל רק על תמונות שנשמרות בשירות iCloud. לפני שתמונה מועלה לשירות (פעולה שמתבצעת אוטומטית אם המשתמש הגדיר זאת), יתבצע על גבי המכשיר עצמו הליך התאמה מול המאגר. ההליך, לדברי אפל, קובע האם יש התאמה מבלי לחשוף את התוצאה, באמצעות טכנולוגיה בשם Private Set Intersection. המכשיר מחולל על שובר בטיחות מוצפן שכולל את תוצאות ההתאמה ומידע מוצפן על התמונה. שובר זה מועלה לאייקלאוד ביחד עם התמונה.

באמצעות טכנולוגיה אחרת, בשם Threshold Secret Sharing, מונעת אפל לקרוא את התוכן אלא אם החשבון חוצה רף מסוים של תוכן פדופילי. הרף נקבע על מנת לספק רמה גבוהה של ודאות, ולדברי החברה יש סיכוי של 1 לטריליון בשנה לזיהוי שגוי של חשבון. רק אחרי שנחצה הרף הטכנולוגיה מאפשרת לאפל לפרש את התוצאות ששמורות בשובר. וידוא זה מתבצע באופן ידני, ואם מאמת בקר אנושי שיש התאמה החשבון של המדובר נחסם והמידע מועבר ל-NCMEC. משתמש יכול לערער על הממצאים ולבקש להחזיר את חשבונו לפעילות.

צילום מסך: אפל

בתור התחלה תהיה המערכת פעילה רק בארה"ב, אך אפל מעוניינת להפעיל אותה במדינות נוספות.

לפי אפל, המערכת שיצרה מאפשרת לספק לרשויות אכיפת חוק מידע משמעותי ובר-פעולה על התפוצה של תוכן פדופילי, תוך הגנה משמעותית על פרטיות משתמשים. ואולם, מומחים מזהים מספר בעיות טכניות ועקרוניות עם המערכת. "ניתוח האבטחה של הפרוטוקול מצומצם למדי, ועונה על מספר שאלות שהן חשובות אך אינן השאלות היחידות", אמר לדו"ח טכנולוגי ד"ר ערן טוך מהפקולטה להנדסה באוניברסיטת תל אביב. "למשל, הניתוח מראה שהסיכוי שהמערכת תזהה תמונה שלא מופיעה במאגר הוא נמוך מאוד, אך יש התקפות נוספות שיכולות לקרות".

התקפה אפשרית אחת יכולה להיות מופעלת על ידי משטרים דכאניים. "נדמיין שפעיל דמוקרטי במדינה דיקטטורית מקבל קובץ שמכיל תעמולה פוליטית", אמר טוך. "המשטרה החשאית יכולה לשתול בתוך הקובץ אלמנטים שיגרמו לו להיות מזוהים כתוכן בעייתי, למרות שהם אינם נראים כך (מה שיוביל לחסימת החשבון ודיווח על המשתמש לרשויות כמי שמחזיק בתוכן פדופילי, ע"כ). יש כבר התקפות כאלו, שנקראות Hash Ooisoning Attacks, והמערכת של אפל עדיין לא נבחנה מולן. בעצם ההתקפה הזו לא דורשת משטר סמכותני או פעילי חופש, אין שום סיבה שאי אפשר להשתמש בה היום".

התקפה שניה תלויה בעצם בממשלה בה המשתמש נמצא. "המערכת תעבוד בשלב הראשון בארה״ב, אבל כמו כל הטכנולוגיות של אפל, יש סיכוי טוב שהיא תמשיך למדינות אחרות. קל לדמיין שמדינות ירצו להשתמש באותה הטכנולוגיה לצרכים אחרים. למשל, כדי לעצור מידע שנתפס בעיניהם כפייק ניוז. אין שום דבר בפרוטוקול שמונע להשתמש במסדי נתונים שונים למשתמשים שונים, וזה די מדאי", אמר טוך.

גם שוורץ אלטשולר הסכימה שהסוגיה הפוליטית כאן היא בעייתית. "בשבועות האחרונים ראינו איך מדינות – דיקטטוריות וסמי דמוקרטיות – משתמשות במערכות איסוף מידע שמיועדת בעצם לאכיפת חוק – כדי להילחם ולעקוב אחר דיסידנטים, שומרי סף וראשי מדינות אחרות", אמרה, כשהיא מתייחסת לדיווחים הנרחבים על פגסוס של NSO. "החשש מפני הדו-שימושיות של טכנולוגיות מעקב מתגבר כאשר חושבים על לחיצת היד הבלתי נראית שעלולה להתרחש בין ענקיות הטכנולוגיה לבין מדינות שידרשו מהן לעשות שימוש לרעה באותן מערכות. הרי, מי שיוצר היום את עקיפת מנגנוני אבטחת המידע, בסוף עלול ליצור דלת אחורית שישתמשו בה לרעה.

"מה יקרה אם סין תדרוש מאפל לשלוט ברשימת התמונות שמולן בודקים את מה שנמצא בענן ותכלול בה מתנגדי משטר? מה יקרה אם מדינות אחרות יפעילו לחץ להרחבת המעקב לנושאים נוספים – ממתנגדים פוליטיים ועד זכויות יוצרים; מפורנו של מבוגרים ועד תמונות וסמלים חתרניים?"

אפל צפויה לעמוד מול לחצים משמעותיים בהקשר זה, אך להערכת שוורץ אלטשולר יש סיכוי טוב שתצליח להדוף אותם: "להבדיל ממערכות כמו זו של NSO, למשל, אפל אינה מאפשרת לאף אחד להפעיל במקומה את המערכות. היא שולטת בהן באופן מלא. יתרה מזאת, השם הטוב והמודל העסקי של אפל בנויים בין השאר על שמירה על הפרטיות והחברה תיפגע מאד אם ייוודע שהיא נכנעת ללחצים. ההיסטוריה מלמדת גם שאפל עמדה בפני לחצים כאלה אפילו מצד הממשל האמריקני בעבר, והצליחה".

שוורץ אלטשולר מוסיפה שתפקידם של פעילי פרטיות בהקשר הזה הוא כפול. "ברמה האחת, מאבק מול ענקיות הדיגיטל כדי לקדם יצירת עוד מערכות מוטות פרטיות ומאוזנות כדי לאפשר אכיפת חוק בנושאים רגישים. במובן הזה הבשורה של אפל היא בשורה טובה. ברמה השניה, מאבק נגד שימושים לרעה במערכות האלה, אשר צריך להיות מופנה כלפי מדינות באמצעות משפט זכויות האדם הבינלאומי".

אני לא שותף מלא לאופטימיות של שוורץ אלטשולר ביחס לאפל. החברה באמת עמדה בלחצים מצד הממשל האמריקני שדרש שהחברה תיצור במערכת ההפעלה שלה פרצות שיאפשרו לאנשיו לגשת למידע השמור על מכשירים, ואף לא היססה להיאבק על כך מול הבית הלבן של טראמפ.

ואולם, בסין גילתה אפל פחות תעוזה. בתגובה לחוק מ-2017, אפל הסכימה לאחסן את המידע על לקוחות סיניים במדינה, במחשבים ששייכים ומנוהלים על ידי חברה ממשלתית סינית עם השם הגנרי Guizhou-Cloud Big Data (GCBD). עובדים של ממשלת סין שולטים פיסית במחשבים ומפעלים את הדאטה סנטר. המידע אמנם מוצפן, אבל אפל הסכימה לאחסן את המפתחות הדיגיטליים שמאפשרים להסיר את ההצפנה באותו דאטה סנטר, ובגלל התנגדות ממשלת סין היא לא משתמשת באותה הצפנה חזקה שקיימת בדאטה סנטרים שלה מחוץ למדינה.

אפל היא גם שותפה פעילה במערך הצנזורה של סין, ומסירה, ביוזמתה, אפליקציות מהאפסטור. לפי הניו יורק טיימס, אפל יצרה מנגנון פנימי שדוחה או מסיר אפליקציות שלתפיסתה עלולות שלא להיות מקובלות על שלטונות סין. החברה מכשירה את בוחני האפליקציות שלה ועושה שימוש בתוכנה ייחודית על מנת לוודא שאפליקציות לא עוסקות בנושאים שמוחשבים למוקצים בסין, כמו כיכר טיין-אן-מן, תנועת הפאלון גונג, הדאלי לאמה או עצמאות לטיבט או לטאיוואן. במסגרת זו, מאז 2017 נעלמו מהאפסטור בסין כ-55 אלף אפליקציות, כאשר רובן עדיין זמינות במדינות אחרות.

חנות של אפל בבייג'ינג | צילום: שאטרסטוק

אז האם כשסין תבוא לאפל בדרישות להפעיל את המערכת החדשה לצרכיה, כשברקע תלוי האיום הקבוע של הצרת צעדיה של החברה במדינה ואף איסור מוחלט על פעילותה שם, תגלה החברה את אותה נחישות שגילתה כלפי הממשל האמריקאי? בכלל לא בטוח. בנוסף, אפל היא לא החברה היחידה שיכולה להפעיל מערכת כזו. החברה היא במובנים רבים קובעת המגמות המרכזית בעולם המובייל. יצרניות אחרות יכולות ללכת בעקבותיה והן יהיו אולי פחות זהירות בכל הנוגע לפרטיות משתמשים ופחות מחויבות להתנגדות לדרישות שלטוניות. ואם החברות האלו יהיו יצרניות סיניות? שאלוהים תעזור לנו.

המערכת של אפל, אפילו אם נבנתה באופן שמגן בצורה מוחלטת על פרטיות משתמשים, אפילו אם היא חפה לחלוטין מאפשרות לבצע בה מניפוליציות, אפילו אם החברה תעמוד כחומה בצורה נגד כל דרישה ממשלתית לא לגיטימית, עלולה להתגלות כצעד ראשון בדרך שאין ממנה חזרה. דרך שמובילה, אחרי צעידה ממושכת, למציאות שבה היכולת של ממשלות, בעיקר לא דמוקרטיות, לדעת מה קורה במכשירים של אזרחיהם משמעותית הרבה יותר, ושבה הפרטיות של כולנו מצומצמת הרבה ביותר.

אלו הסכנות שבהפעלה המערכת הן לא טריוויאליות, אך מנגד עומדת הסכנה של לא לעשות כלום, ולאפשר את המשך השיתוף של תמונות פדופיליות, שמוביל באופן ישיר לניצול ופגיעה בילדים. השאלה שאנחנו צריכים להתמודד אתה כעת היא האם הסכנות האפשריות הן מחיר שמוצדק לשלם כדי לזהות פדופילים ואנשים שפוגעים בילדים? זו שאלה שצריך לחשוב עליה לעומק, ושלעולם לא תהיה לה תשובה חד-משמעית ופשוטה.