Corellium ha annunciato il lancio di un nuovo progetto che sosterrà la ricerca indipendente sulla sicurezza e la privacy delle applicazioni mobile, iniziando proprio dal nuovo rilevamento CSAM annunciato recentemente da Apple.
Il piano di Apple di scansionare le librerie di foto degli utenti iPhone alla ricerca di materiale pedopornografico ha ricevuto notevoli critiche. La maggior parte delle preoccupazioni riguarda il modo in cui la tecnologia utilizzata per rilevare le immagini potrebbe essere utilizzata per cercare altri tipi di foto nella libreria di un utente, ad esempio su richiesta di un governo oppressivo.
Ricordiamo che Apple verificherà la presenza di foto CSAM nella libreria di un utente, confrontando gli hash delle immagini con un database di foto pedopornografiche note. La società ha fermamente respinto le critiche, affermando che non consentirà ai governi di aggiungere o rimuovere immagini da quel database, per cui le uniche foto che verranno segnalate saranno quelle di natura pedopornografica già presenti nella banca dati CSAM.
In un’intervista con il Wall Street Journal, il VP software engineering di Apple, Craig Federighi, ha affermato che la natura del metodo di rilevamento CSAM di Apple funziona solo in locale sul dispositivo, a differenza di altri come Google che invece completano il processo su cloud. Questo significa che i ricercatori di sicurezza possono effettuare tutti i controlli del caso:
I ricercatori di sicurezza sono costantemente in grado di analizzare ciò che sta accadendo nel software di Apple, quindi se sono state apportate modifiche che dovessero ampliare la portata del database, in un modo che ci eravamo impegnati a non fare, c’è verificabilità e tutti possono individuare che cosa sta accadendo.
La nuova iniziativa di Corellium, denominata “Corellium Open Security Initiative“, mira a mettere alla prova l’affermazione di Federighi. Come parte del progetto, l’azienda offrirà ai ricercatori un contributo di 5.000 dollari e l’accesso gratuito alla piattaforma Corellium per un anno intero proprio per consentire uno studio completo.
Corellium ritiene che questa nuova iniziativa consentirà ai ricercatori di sicurezza, agli appassionati e ad altri di convalidare le affermazioni di Apple sul suo metodo di rilevamento CSAM.
Ci auguriamo che altri fornitori di software mobile seguano l’esempio di Apple nel promuovere la verifica indipendente delle affermazioni sulla sicurezza e sulla privacy. Per incoraggiare questa importante ricerca, accetteremo proposte per progetti di ricerca ideati per convalidare qualsiasi richiesta di sicurezza e privacy per fornitori di software mobile, sia nel sistema operativo che in applicazioni di terze parti.
I ricercatori di sicurezza e le persone interessate a far parte dell’iniziativa hanno tempo fino al 15 ottobre 2021 per presentare domanda. Maggiori dettagli possono essere trovati sul sito web di Corellium.