据MacRumors8月18日报道,苹果用于检测iCloud照片中是否存在儿童色情图片(CSAM)的NeuralHash算法存在漏洞.,可能被用于原像攻击。开发者AsuharietYvgar在Reddit上表示,他在iOS14.3中发现了CSAM检测使用的苹果NeuralHash算法版本,该版本容易发生哈希冲突,导致原像攻击。该攻击可能导致普通用户因拥有儿童色情内容而被陷害,并招致苹果公司的调查。同一天,苹果回应媒体主板称,iOS14.3中发现的NeuralHash版本并不是随iOS15一起发布的最终版本。苹果还表示,已将算法公开供安全研究人员验证,但有一个第二个非公开算法将在用户超过30个匹配阈值后打开检查和人工验证。据了解,该算法是在一个隐藏的API中被发现的,NeuralHash的容器叫做MobileNetV3。AsuharietYvgar对代码进行了逆向工程,并用Python重建了一个可以上传以进行图像测试的工作模型。目前,代码和脚本已经上传至GitHub,供大家查看。使用这个有效的Python脚本,GitHub用户已经开始调查该算法的工作原理以及它是否会被滥用。一位名叫dxoigmn的用户发现,如果知道在CSAM数据库中找到的结果哈希值,就可以创建一个产生相同哈希值的假图像。理论上,用户可以将这些图片发送给随机的Apple用户以触发算法。目前还没有人在iOS15测试版中发现CSAM数据库或匹配算法的存在。Apple也没有提供CSAM检测功能的确切发布时间表。
