Apple 本月早些时候预览了适用于 iOS、iPadOS 和 macOS 的 CSAM 检测系统。自发布以来,CSAM 检测功能一直是争论的话题。不仅是安全研究人员,就连苹果自己的员工和德国议会成员都在呼吁。现在有开发者报告说,在 iOS 14.3 中发现了用于检测 CSAM 照片的 NeuralHash 代码。
一个独立的开发商,Asuhariet Ygvar,贴 代码为Github上NeuralHash的重构Python版本。他说他提取的代码来自六个月前发布的 iOS 版本,尽管 Apple 声称当前的 iOS 版本没有 CSAM 检测。Ygvar 将代码发布在 Github 上,供其他安全研究人员深入研究。
在看到代码后,几位安全研究人员能够发现其中的缺陷。例如,系统为两张完全不同的图片生成相同的哈希码。安全研究人员随后警告当局,因为潜在的碰撞可能使 CSAM 系统被利用。
然而,苹果否认了这些说法。苹果在给Motherboard 的一份声明中表示,开发者提取的 NeuralHash 系统版本与 CSAM 检测系统最终版本中将使用的版本不同。苹果公司表示,它已将代码公开供安全研究人员使用,以查找其中的缺陷。该公司表示,服务器中运行着一种私有算法,可在超过阈值后验证所有 CSAM 匹配项,然后再进行人工验证。
“NeuralHash 算法作为签名操作系统代码的一部分 [并且] 安全研究人员可以验证它的行为是否符合描述,”Apple 的一份文档中写道。苹果还表示,在用户通过 30 个匹配阈值后,运行在苹果服务器上的第二个非公开算法将检查结果。
约翰霍普金斯大学密码学研究员马修格林表示,如果开发人员发现的 NeuralHash 系统中存在冲突,“它们将存在于苹果最终激活的系统中。” 苹果可能会在发布前“重新设计”该功能,“但作为概念证明,这绝对有效,”他谈到 GitHub 上共享的信息时说。
研究人员 Nicholas Weaver 告诉Motherboard, 如果苹果继续实施泄露的 NeuralHash 代码,人们可以“用垃圾图像惹恼苹果的响应团队,直到他们实施过滤器”以消除误报。
供您参考,Apple 不会直接扫描上传到 iCloud 的照片。相反,CSAM 检测系统将照片划分为与 NCMEC 提供的照片生成的哈希值匹配的哈希值。如果发现超过 30 张具有相同哈希值的照片,则会触发审核,之后 Apple 团队会查看该照片。但是,根据 Apple 的说法,在触发审查系统的照片与实际提交给响应团队的照片之间还有另一项检查,这将消除 CSAM 数据库的曝光。