שימוש לרעה ממשלתי ב-CSAM של אפלiCloudמערכת הגילוי בארה"ב, כמו התרחבות לנושאי טרור ועניינים דומים, נמנעת על ידי התיקון הרביעי, על פי סמנכ"ל התפעול של חברת האבטחה קורליום.
בשרשור בטוויטר ביום שני, COO של Corellium ומומחה האבטחה מאט טייט פירטו מדוע הממשלה לא יכלה פשוט לשנות את מסד הנתונים שמתוחזק על ידי המרכז הלאומי של ילדים נעדרים ומנוצלים (NCMEC) כדי למצוא תמונות שאינן CSAM באחסון הענן של אפל. ראשית, טייט ציין כי NCMEC אינו חלק מהממשלה. במקום זאת, זוהי ישות פרטית ללא מטרות רווח עם הרשאות משפטיות מיוחדות לקבל עצות CSAM.
בגלל זה, רשויות כמו משרד המשפטים לא יכולות פשוט להורות ישירות ל-NCMEC לעשות משהו מחוץ לתחומה. אולי היא תוכל להכריח אותם בבתי המשפט, אבל NCMEC לא נמצאת בשרשרת הפיקוד שלה. גם אם משרד המשפטים "יבקש יפה", ל-NCMEC יש כמה סיבות להגיד לא.
עם זאת, Tait משתמש בתרחיש ספציפי של DOJ מקבל את NCMEC כדי להוסיף hash עבור מסמך מסווג למסד הנתונים שלו.
בתרחיש זה, אולי למישהו יש את התמונה הזו בטלפון שלו והעלה אותה ל-iCloud כך שהיא נסרקה והפעילה פגיעה. ראשית, בפרוטוקול של אפל, פגיעה יחידה זו אינה מספיקה כדי לזהות שלאדם יש את המסמך, עד שמגיעים לסף המוגדר מראש.
— Pwn All The Things (@pwnallthethings)9 באוגוסט 2021
Tait גם מציין שתמונה אחת של לא CSAM לא תספיק לפינג למערכת. גם אם החסמים הללו יעברו איכשהו, סביר להניח שאפל תפיל את מסד הנתונים של NCMEC אם היא ידעה שהארגון לא פועל ביושר. לחברות טכנולוגיה יש חובה חוקית לדווח על CSAM, אך לא לסרוק אותה.
— Pwn All The Things (@pwnallthethings)9 באוגוסט 2021אז הודות ל-DOJ ששאל ו-NCMEC שאמרו "כן", אפל ביטלה לחלוטין את סריקת CSAM, וגם NCMEC וגם DOJ לא קיבלו מכה. יתר על כן, NCMEC נהרס כעת: אף אחד בטכנולוגיה לא ישתמש במסד הנתונים שלו.
אז הסיפור הארוך הוא ש-DOJ לא יכול לשאול את NCMEC בנימוס ולהגיע ל-yes
האם הממשלה יכולה לחייב את NCMEC להוסיף hash לתמונות שאינן CSAM היא גם שאלה מסובכת. לפי Tait, התיקון הרביעי כנראה אוסר זאת.
NCMEC אינו למעשה גוף חקירות, ויש חסמים בינו לבין סוכנויות ממשלתיות. כאשר הוא מקבל טיפ, הוא מעביר את המידע לרשויות אכיפת החוק. כדי להעמיד לדין למעשה עבריין CSAM מוכר, רשויות אכיפת החוק חייבות לאסוף ראיות משלהן, בדרך כלל בצו.
למרות שבתי משפט התחבטו בשאלה, סריקת ה-CSAM המקורית על ידי חברת טכנולוגיה תואמת את התיקון הרביעי מכיוון שחברות עושות זאת מרצון. אם זה חיפוש לא מרצון, אז זה "חיפוש ממלא מקום" ובניגוד לתיקון הרביעי אם לא ניתן צו.
כדי שהקונספירציה תעבוד, היא תצטרך שאפל, NCMEC ו-DOJ יעבדו יחד כדי לחלץ אותה *מרצונה* והיא לעולם לא תדלוף. אם זה מודל האיום שלך, בסדר, אבל זו קונספירציה ענקית עם סיכון עצום לכל המשתתפים, שניים מהם מבחינה קיומית.
— Pwn All The Things (@pwnallthethings)10 באוגוסט 2021
של אפלמנגנון זיהוי CSAMעורר סערה מאז הודעתו, וזכה לביקורת מצד מומחי אבטחה ופרטיות. ענקית הטכנולוגיה קופרטינו טוענת שכןלא יאפשרעם זאת, המערכת שתשמש לסריקה אחר כל דבר מלבד CSAM.
