開發者通過逆向編譯,發現蘋果用于检测 iCloud 照片中是否存在儿童性虐待材料 (CSAM) 的 NeuralHash 算法存在漏洞,可能會被黑客利用。开发者 Asuhariet Yvgar 表示,他对隐藏代码的 iOS 14.3 中的 NeuralHash 算法进行了逆向工程,并用 Python 重新构建了它
经过深入调查研究之后,他发现存在一个冲突可能,即两个不匹配的图像共享相同的哈希值的问题。安全研究人员对这种可能性发出了警告,因为潜在的碰撞可能使 CSAM 系统被利用。
在给 Motherboard 的一份声明中,蘋果表示 Yvgar 逆向工程的 NeuralHash 版本与将用于 CSAM 系统的最终实现不同。 蘋果还表示,它已将该算法公开以供安全研究人员验证,但还有第二个私有服务器端算法可以在超过阈值后验证 CSAM 匹配,以及人工验证。
然而,蘋果在一封电子邮件中告诉 Motherboard, 用户在 GitHub 上分析的那个版本是一个通用版本,而不是用于 iCloud 照片 CSAM 检测的最终版本。蘋果表示,它还公开了该算法。
蘋果在一份支持文档中写道:“NeuralHash 算法 [...] 作为签名操作系统代码的一部分 [并且] 安全研究人员可以验证它的行为是否符合描述”。蘋果还表示,在用户通过 30 个匹配阈值后,运行在蘋果服务器上的第二个非公开算法将检查结果。
(舉報)