W ciągu ostatniego roku rządy na całym świecie naciskały na Facebook, aby porzucił plany szyfrowania end-to-end w swoich aplikacjach, argumentując, że funkcja ta zapewnia osłonę dla przestępców, a przede wszystkim, drapieżników dzieci. Dziś Facebook jest toczenia nowych nadużyć wykrywania i ostrzegania narzędzi w Messenger, które mogą pomóc rozwiązać ten krytycyzm – bez osłabiania jego protections.
Facebook ogłosił dziś nowe funkcje dla Messenger, który będzie ostrzegać, gdy wiadomości wydają się pochodzić z oszustw finansowych lub potencjalnych krzywdzicieli dzieci, wyświetlanie ostrzeżeń w aplikacji Messenger, które zawierają wskazówki i sugerują zablokować przestępców. Funkcja, którą Facebook rozpoczął walcowanie na Androida w marcu i jest teraz doprowadzenie do iOS, wykorzystuje analizę uczenia maszynowego komunikacji na Facebook Messenger miliardów użytkowników ponad do identyfikacji podejrzanych zachowań. Ale co najważniejsze, Facebook mówi, że wykrywanie nastąpi tylko na podstawie metadanych, a nie analizy treści wiadomości, tak aby nie podważać end-to-end szyfrowania, że Messenger oferuje w swojej funkcji Secret Conversations. Facebook powiedział, że w końcu rozwinie się, że end-to-end szyfrowania do wszystkich czatów Messenger domyślnie.
„Wprowadzamy powiadomienia o bezpieczeństwie w Messengerze, które będą wyskakiwać na czacie i dostarczać wskazówek, aby pomóc ludziom zauważyć podejrzaną aktywność i podjąć działania, aby zablokować lub zignorować kogoś, gdy coś nie wydaje się w porządku,” czytamy w poście na blogu z Facebook dyrektor zarządzania produktem dla prywatności Messenger i bezpieczeństwa Jay Sullivan. „W miarę jak przechodzimy na szyfrowanie end-to-end, inwestujemy w narzędzia chroniące prywatność, takie jak to, aby zapewnić ludziom bezpieczeństwo bez dostępu do treści wiadomości.”
„Myślę, że to dobry znak, że eksperymentują tutaj.”
Alex Stamos, były dyrektor ds. bezpieczeństwa Facebooka
Facebook nie ujawnił wielu szczegółów na temat tego, jak jego sztuczki wykrywania nadużyć oparte na uczeniu maszynowym będą działać. Ale rzecznik Facebooka mówi WIRED mechanizmy wykrywania są oparte na metadanych: kto rozmawia z kim, kiedy wysyłają wiadomości, z jaką częstotliwością, i inne atrybuty odpowiednich kont – w zasadzie wszystko poza treścią komunikacji, które serwery Facebooka nie mogą uzyskać dostępu, gdy te wiadomości są szyfrowane. „Możemy uzyskać całkiem dobre sygnały, które możemy rozwijać poprzez modele uczenia maszynowego, które będą oczywiście poprawić w czasie,” rzecznik Facebook powiedział WIRED w rozmowie telefonicznej. Odmówili podzielić się więcej szczegółów w części, ponieważ firma mówi, że nie chce nieumyślnie pomóc złych aktorów obejść swoje zabezpieczenia.
Post firmy na blogu oferuje przykład dorosłych wysyłających wiadomości lub prośby o znajomych do dużej liczby nieletnich jako jeden przypadek, w którym jego mechanizmy wykrywania zachowań może dostrzec prawdopodobnego krzywdziciela. W innych przypadkach, Facebook mówi, to będzie ważyć brak połączeń między dwoma ludzi wykresów społecznych – znak, że nie znają się nawzajem – lub rozważyć poprzednie przypadki, w których użytkownicy zgłaszane lub zablokowane kogoś jako wskazówkę, że są one do czegoś shady.
Jeden zrzut ekranu z Facebooka, na przykład, pokazuje alert, który pyta, czy odbiorca wiadomości zna potencjalnego scammer. Jeśli powie, że nie, alert sugeruje zablokowanie nadawcy i oferuje wskazówki, jak nigdy nie wysyłać pieniędzy nieznajomemu. W innym przykładzie, aplikacja wykrywa, że ktoś używa nazwy i zdjęcia profilowego, aby podszyć się pod przyjaciela odbiorcy. Alert pokazuje wtedy obok siebie profile podszywającego się i prawdziwego znajomego, sugerując użytkownikowi zablokowanie oszusta.
Facebook ma jeden wyjątek od swojego twierdzenia, że nie patrzy na treść wiadomości: Mechanizm raportowania nadużyć w Messengerze od dawna zawiera funkcję, która wysyła wiadomości do Facebooka, gdy użytkownik je oznaczy. To daje Facebookowi kolejną potencjalną wskazówkę co do tego, jakie inne złe zachowanie może mieć na celu nadawca, ale nie jest ogólnie uważane za naruszenie szyfrowania end-to-end, ponieważ odbiorca zaszyfrowanej wiadomości może zawsze zdecydować się na udostępnienie odszyfrowanej wersji stronie trzeciej.1
Na razie funkcja powiadomień o bezpieczeństwie będzie tylko wyraźnie sugerować blokowanie lub ignorowanie potencjalnego nadużycia. (Użytkownicy nadal mogą zgłaszać obraźliwe zachowanie zwykłą metodą, stukając w imię nadawcy, a następnie „Coś jest nie tak”, a następnie określając, co się stało). „Chcieliśmy dać ludziom natychmiastowe działanie, a blokowanie jest najbardziej natychmiastowe działanie ktoś może podjąć, aby uniknąć szkody,” rzecznik Facebook mówi. „Raportowanie jest czymś, na co patrzymy, aby wprowadzić do funkcji, jak również.”
Facebook Messenger’s dodanie alertów nadużyć w oparciu o metadane sam jest „dobry początek”, mówi Alex Stamos, były szef bezpieczeństwa Facebook. Ale on twierdzi, że firma może – i powinna – zrobić więcej. Stamos, który teraz prowadzi Stanford Internet Observatory, argumentował, że Facebook, Google, Microsoft, Snap i inni powinni monitorować oznaki złego zachowania na urządzeniach użytkownika.
„Myślę, że powinni mieć klienta po stronie patrząc-at-content. A kiedy już to zrobią, powinni zachęcać ludzi, aby mogli to zgłosić” – mówi Stamos. Że na urządzeniu analizy treści i raportowanie pozwalają Facebook znaleźć złych aktorów szybciej niż zwykłe skanowanie metadanych, Stamos mówi, przy jednoczesnym zachowaniu end-to-end encryption.
Stamos zauważa również, że jeśli Facebook podkreślił raportowanie zamiast zwykłego blokowania w swoich ostrzeżeniach do, raporty te mogą tworzyć dowody, że organy ścigania mogą korzystać przeciwko poważnym przestępcom. „Nie zamierzasz aresztować kogoś, bo twoje dane pokazują, że próbował 'przyjaciel’ grupa nastolatków,” Stamos dodaje. „Natomiast jeśli ktoś faktycznie wysyła prośbę o akty do dziecka, jest to prawdopodobnie nielegalne w większości przypadków. To może być wykorzystane do uzyskania nakazu przeszukania i ewentualnego oskarżenia tej osoby. Naprawdę chcesz treść komunikacji, a najlepszym sposobem, aby to zrobić w szyfrowaniu end-to-end jest po prostu zachęcić odbiorcę do zgłaszania rozmowy.”
Przedstawiciel Facebooka, zapytany o możliwość analizy treści po stronie klienta, mówi, że środek „nie był brany pod uwagę i nie jest konieczny dla tej funkcji bezpieczeństwa.”
Facebook, wraz z wieloma innymi firmami technologicznymi, znalazł się pod rosnącą presją administracji Trumpa i Kongresu, aby wbudować mechanizmy w szyfrowanie, które umożliwiają organom ścigania dostęp do komunikacji i przechowywanych danych. W marcu przedstawiono projekt ustawy o nazwie EARN IT Act, która w praktyce mogłaby zakazać silnego szyfrowania end-to-end, gdyby została przyjęta w obecnej formie. W tym tygodniu prokurator generalny William Barr skrytykował firmę Apple za brak pomocy w odszyfrowaniu pary starszych iPhone’ów należących do związanego z Al-Kaidą Mohammeda Saeeda Alshamraniego, który w grudniu ubiegłego roku zabił trzy osoby w masowej strzelaninie.
Facebook twierdzi, że jego nowe komunikaty bezpieczeństwa nie są odpowiedzią na presję polityczną – w rzeczywistości były one w przygotowaniu jeszcze zanim Mark Zuckerberg ogłosił powolne przechodzenie firmy na ujednolicony, szyfrowany od początku do końca system przesyłania wiadomości w zeszłym roku.
Ale Stamos przekonuje, że właśnie tego rodzaju narzędzie jest niezbędne, aby uspokoić krytyków szyfrowania – i że nadal może być konieczne i możliwe więcej, bez naruszania podstawowych gwarancji prywatności szyfrowania. „Myślę, że to dobry znak, że eksperymentują w tym zakresie” – mówi Stamos. „To potwierdzenie, że uważają, iż są odpowiedzialni za radzenie sobie z niektórymi wadami, co moim zdaniem jest nie tylko moralnie słuszne. Jest to predyktor end-to-end szyfrowania przetrwać.”
1Updated 5/21/2020 o 2pm EST, aby wyjaśnić, jak Facebook proces raportowania dla zaszyfrowanych rozmów działa.
More Great WIRED Stories
- How a Chinese AI giant made chatting—and surveillance—easy
- The confessions of Marcus Hutchins, the hacker who saved the internet
- We’ll learn to sing together when we’re far apart
- 27 days in Tokyo Bay: Co się stało na Diamond Princess
- Wskazówki i narzędzia do cięcia włosów w domu
- 👁 AI odkrywa potencjalną terapię Covid-19. Plus: Pobierz najnowsze wiadomości AI
- 🏃🏽♀️ Chcesz najlepsze narzędzia, aby uzyskać zdrowe? Sprawdź nasz zespół Gear wybiera najlepsze trackery fitness, sprzęt do biegania (w tym buty i skarpetki) i najlepsze słuchawki
More Great WIRED Stories
- How a Chinese AI giant made chatting—and surveillance—easy
- The confessions of Marcus Hutchins, the hacker who saved the internet
- We’ll learn to sing together when we’re far apart
- 27 days in Tokyo Bay: What happened on the Diamond Princess
- Tips and tools for cutting your hair at home
- 👁 AI uncovers a potential Covid-19 treatment. Plus: Get the latest AI news
- 🏃🏽♀️ Want the best tools to get healthy? Check out our Gear team’s picks for the best fitness trackers, running gear (including shoes and socks), and best headphones