Исследователи обманули алгоритм Apple для CSAM-сканирования. В компании говорят, что в финальной версии NeuralHash этой уязвимости нет

Обложка: Исследователи обманули алгоритм Apple для CSAM-сканирования. В компании говорят, что в финальной версии NeuralHash этой уязвимости нет

Алгоритм NeuralHash выложили на GitHub

Neural Hash — это алгоритм, который на телефоне пользователя преобразует фотографию в уникальный хеш, который затем сравнивает с базой известных образцов материалов сексуального насилия над детьми (CSAM). 

Пользователь GitHub под ником Asuhariet Ygvar опубликовал код реконструированной версии алгоритма NeuralHash на Python, которую, вытащил из iOS 14.3.

На GitHub также лежит инструкция по извлечению файлов NeuralMatch из текущей сборки macOS или iOS. Полученный алгоритм представляет собой общую версию NeuralHash, а не конкретный алгоритм, который будет использоваться после развёртывания CSAM-сканирования, но он всё равно даёт общее представление о сильных и слабых сторонах алгоритма.

В NeuralHash нашли уязвимости

Исследователи протестировали обнаруженный алгоритм и выяснили, что его легко обмануть. Если обрезать или повернуть изображение, NeuralHash переставал воспринимать его как нелегальный контент. 

Но есть уязвимость и пострашнее. Исследователи смогли создать коллизию: для двух совершенно разных фотографий NeuralHash сгенерировал одинаковые хеши.

Если база хешей нелегального контента, на которые будет реагировать CSAM-сканирования, попадёт в руки злоумышленников, они смогут «подставлять» пользователей. 

Правда, для этого придётся не только обзавестись базой и нагенерировать несколько десятков совпадающих по хешам фотографий, но и запихать их на телефон жертвы. 

Apple говорит, что уязвимостей уже нет

Apple заявила, что версия NeuralHash, которую выложили на GitHub, не окончательная. В актуальной версии обе уязвимости уже пофикшены. 

Компания так же напомнила, что NeuralHash — лишь составная часть CSAM-сканирования. Сама технология на самом деле гораздо сложнее. 

Источник: MacRumors

***

Если не понимаете, о чём речь:

Хинт для программистов: если зарегистрируетесь на соревнования Huawei Cup, то бесплатно получите доступ к онлайн-школе для участников. Можно прокачаться по разным навыкам и выиграть призы в самом соревновании.

Перейти к регистрации