开发者通过逆向编译,发现苹果用于检测 iCloud 照片中是否存在儿童性虐待材料 (CSAM) 的 NeuralHash 算法存在漏洞,可能会被黑客利用。开发者 Asuhariet Yvgar 表示,他对隐藏代码的 iOS 14.3 中的 NeuralHash 算法进行了逆向工程,并用 Python 重新构建了它。
经过深入调查研究之后,他发现存在一个冲突可能,即两个不匹配的图像共享相同的哈希值的问题。安全研究人员对这种可能性发出了警告,因为潜在的碰撞可能使 CSAM 系统被利用。
在给 Motherboard 的一份声明中,苹果表示 Yvgar 逆向工程的 NeuralHash 版本与将用于 CSAM 系统的最终实现不同。 苹果还表示,它已将该算法公开以供安全研究人员验证,但还有第二个私有服务器端算法可以在超过阈值后验证 CSAM 匹配,以及人工验证。
然而,苹果在一封电子邮件中告诉 Motherboard, 用户在 GitHub 上分析的那个版本是一个通用版本,而不是用于 iCloud 照片 CSAM 检测的最终版本。苹果表示,它还公开了该算法。
苹果在一份支持文档中写道:“NeuralHash 算法 [...] 作为签名操作系统代码的一部分 [并且] 安全研究人员可以验证它的行为是否符合描述”。苹果还表示,在用户通过 30 个匹配阈值后,运行在苹果服务器上的第二个非公开算法将检查结果。