據(jù)MacRumors 8月18日?qǐng)?bào)道，蘋果早前發(fā)布的用于檢測iCloud照片中是否存在兒童色情圖片(CSAM)的NeuralHash算法存在漏洞，可能被利用進(jìn)行原像攻擊。

開發(fā)者Asuhariet Yvgar 在Reddit上表示，他發(fā)現(xiàn)了iOS 14.3中CSAM檢測使用的蘋果NeuralHash算法的一個(gè)版本，容易發(fā)生哈希碰撞，導(dǎo)致原像攻擊。該攻擊可能導(dǎo)致普通用戶被誣陷持有兒童色情圖片并招致蘋果調(diào)查審核。

同日，蘋果回應(yīng)媒體Motherboard稱，在 iOS 14.3 中發(fā)現(xiàn)的 NeuralHash 版本并不是與 iOS 15 一起發(fā)布的最終版本。蘋果還表示，它已將該算法公開以供安全研究人員驗(yàn)證，但還有第二個(gè)非公開算法將在用戶超30張匹配閾值后開啟檢查以及人工驗(yàn)證。

[[418528]]

據(jù)了解，該算法是在隱藏的API中發(fā)現(xiàn)的，NeuralHash的容器被稱為MobileNetV3。Asuhariet Yvgar對(duì)代碼進(jìn)行了逆向工程，并在Python中重建了一個(gè)工作模型，可以上傳圖像測試。目前，該代碼和腳本已上傳至GitHub供大家查證。

利用這個(gè)工作的Python腳本，GitHub用戶已經(jīng)開始研究這個(gè)算法是如何工作的，以及它是否可以被濫用。

一位名叫dxoigmn的用戶發(fā)現(xiàn)，如果知道CSAM數(shù)據(jù)庫中發(fā)現(xiàn)的結(jié)果哈希值，人們可以創(chuàng)建一個(gè)產(chǎn)生相同哈希值的假圖像。理論上，一個(gè)用戶可以將這些圖片發(fā)送給隨機(jī)的蘋果用戶，以觸發(fā)該算法。

目前還沒有人發(fā)現(xiàn)iOS 15測試版中存在CSAM數(shù)據(jù)庫或匹配算法。蘋果也還沒有提供CSAM檢測功能的確切發(fā)布時(shí)間表。