Dezvoltatorul Asuhariet Yvgar a spus în această dimineață că a realizat o inginerie inversă a algoritmului NeuralHash pe care Apple îl folosește pentru a detecta materialele de abuz sexual asupra copiilor (CSAM) în Fotografii iCloud , postarea dovezilor pe GitHub și detalii pe Reddit .
Yvgar a spus că a realizat o inginerie inversă a algoritmului NeuralHash din iOS 14.3, unde codul a fost ascuns, și l-a reconstruit în Python. După ce și-a încărcat descoperirile, un alt utilizator a putut să o facă crea o coliziune , o problemă în care două imagini care nu se potrivesc au același hash. Cercetătorii în domeniul securității au avertizat despre această posibilitate deoarece potențialul de coliziuni ar putea permite exploatarea sistemului CSAM.
Într-o declarație către Placa de baza , Apple a spus că versiunea NeuralHash pe care Yvgar a realizat-o în inginerie inversă nu este aceeași cu implementarea finală care va fi utilizată cu sistemul CSAM. Apple a mai spus că a făcut algoritmul disponibil public pentru ca cercetătorii de securitate să îl verifice, dar există un al doilea algoritm privat pe partea de server care verifică o potrivire CSAM după depășirea pragului, împreună cu verificarea umană.
Cu toate acestea, Apple a spus Motherboard într-un e-mail că acea versiune analizată de utilizatori pe GitHub este o versiune generică, și nu singura versiune finală care va fi utilizată pentru detectarea iCloud Photos CSAM. Apple a spus că a făcut public algoritmul.
„Algoritmul NeuralHash [... este] inclus ca parte a codului sistemului de operare semnat [iar] cercetătorii de securitate pot verifica dacă se comportă așa cum este descris”, se arată într-una dintre documentele Apple. Apple a mai spus că, după ce un utilizator trece pragul de 30 de potriviri, un al doilea algoritm non-public care rulează pe serverele Apple va verifica rezultatele.
Matthew Green, care predă criptografie la Universitatea Johns Hopkins și care a fost un critic vocal al sistemului CSAM al Apple, a declarat Placa de baza că dacă coliziunile „există pentru această funcție”, atunci el se așteaptă că „vor exista în sistemul pe care Apple îl activează în cele din urmă”.
„Desigur, este posibil ca aceștia să reînvârtească funcția hash înainte de a fi implementate”, a spus el. „Dar ca dovadă de concept, acest lucru este cu siguranță valid”, a spus el despre informațiile distribuite pe GitHub.
Din cauza elementului uman, însă, a spus un alt cercetător, Nicholas Weaver Placa de baza ceea ce oamenii pot face cu manipularea hashurilor non-CSAM în CSAM este „enerva echipa de răspuns a Apple cu imagini de gunoi până când implementează un filtru” pentru a scăpa de fals pozitive. De fapt, păcălirea sistemului Apple ar necesita și accesul la hashurile furnizate de NCMEC și ar necesita producerea a peste 30 de imagini care se ciocnesc, rezultatul final nu va păcăli supravegherea umană.
Apple folosește sistemul său NeuralHash pentru a potrivi o bază de date de hash-uri de imagini furnizate de agenții precum Centrul Național pentru Copii Dispăruți (NCMEC) cu imaginile de pe dispozitivele utilizatorilor pentru a căuta CSAM. Sistemul este conceput pentru a produce potriviri exacte, iar Apple spune că există o șansă la un trilion ca un cont iCloud să poată fi semnalat accidental.
Apple intenționează să implementeze sistemul NeuralHash CSAM în iOS și iPad 15 ca parte a unei suite de funcții de siguranță pentru copii și a fost o decizie extrem de controversată, Apple a primit critici din partea clienților și a susținătorilor confidențialității. Apple a încercat să liniștească clienții și cercetătorii de securitate cu privire la implementarea sistemului documentație suplimentară și interviuri executive .
Posturi Populare