研究人員在iOS的內(nèi)置散列函數(shù)算法中發(fā)現(xiàn)了碰撞攻擊漏洞，引起了人們對(duì)蘋果公司CSAM掃描系統(tǒng)的新關(guān)注，但蘋果公司表示，這一發(fā)現(xiàn)并沒有威脅到該系統(tǒng)的完整性。

該漏洞影響了名為NeuralHash的散列算法，該算法允許蘋果公司在不擁有任何圖片或收集任何非匹配圖片信息的情況下，檢查圖片與已知的虐待兒童圖像是否完全匹配。周二，一個(gè)名為Asuhariet Ygvar的GitHub用戶發(fā)布了一個(gè)重建的Python版本的NeuralHash代碼，他聲稱已經(jīng)從以前的iOS版本中逆向開發(fā)了這個(gè)版本。

該GitHub帖子還包括如何從當(dāng)前macOS或iOS構(gòu)建中提取NeuralMatch文件的說明。由此產(chǎn)生的算法是NeuralHash的通用版本，而不是擬議的CSAM系統(tǒng)部署后將使用的具體算法，但它仍然給出了該算法的優(yōu)勢(shì)和劣勢(shì)的總體概念。

早期測(cè)試表明，它可以容忍圖像的大小和壓縮，但不能容忍裁剪或旋轉(zhuǎn)。Asuhariet Ygvar在Reddit上分享了新代碼，希望這能幫助外界更好地理解NeuralHash算法，并在它在所有iOS設(shè)備上啟用之前知道它的潛在問題。此后不久，一個(gè)叫Cory Cornelius的用戶在算法中發(fā)現(xiàn)了碰撞攻擊漏洞，可以產(chǎn)生兩張相同哈希值的圖片。這是一個(gè)重要的發(fā)現(xiàn)，因?yàn)樘O果公司說其CSAM系統(tǒng)的額外保護(hù)措施將防止它被不法利用。

8月5日，蘋果公司推出了一個(gè)新系統(tǒng)，用于阻止iOS設(shè)備上的虐待兒童圖像。在新系統(tǒng)下，iOS將根據(jù)國(guó)家失蹤和被剝削兒童中心(NCMEC)生成和維護(hù)的虐待兒童圖像的哈希值檢查本地存儲(chǔ)的文件。該系統(tǒng)包含許多隱私保護(hù)措施，將掃描范圍限制在iCloud照片上，并設(shè)置了一個(gè)閾值，即在生成警報(bào)前發(fā)現(xiàn)多達(dá)30個(gè)匹配項(xiàng)。然而，隱私倡導(dǎo)者仍然擔(dān)心掃描本地存儲(chǔ)文件的影響，新的發(fā)現(xiàn)加劇了人們對(duì)該系統(tǒng)可能被利用的擔(dān)憂。

蘋果公司表示，鑒于感知散列算法的已知局限性，其CSAM掃描系統(tǒng)在構(gòu)建時(shí)已考慮到碰撞攻擊問題。該公司強(qiáng)調(diào)了一個(gè)獨(dú)立于NeuralHash的二級(jí)服務(wù)器端散列算法，其具體細(xì)節(jié)沒有公開。如果一張由NeuralHash碰撞攻擊的圖片被系統(tǒng)標(biāo)記出來，它將被送二級(jí)服務(wù)器檢測(cè)，并在人工審核之前被確定為誤報(bào)。