Apple 本月早些時(shí)候預覽了適用于 iOS、iPadOS 和 macOS 的 CSAM 檢測系統。自發(fā)布以來(lái)，CSAM 檢測功能一直是爭論的話(huà)題。不僅是安全研究人員，就連蘋(píng)果自己的員工和德國議會(huì )成員都在呼吁?，F在有開(kāi)發(fā)者報告說(shuō)，在 iOS 14.3 中發(fā)現了用于檢測 CSAM 照片的 NeuralHash 代碼。

　　一個(gè)獨立的開(kāi)發(fā)商，Asuhariet Ygvar，貼 代碼為Github上NeuralHash的重構Python版本。他說(shuō)他提取的代碼來(lái)自六個(gè)月前發(fā)布的 iOS 版本，盡管 Apple 聲稱(chēng)當前的 iOS 版本沒(méi)有 CSAM 檢測。Ygvar 將代碼發(fā)布在 Github 上，供其他安全研究人員深入研究。

　　在看到代碼后，幾位安全研究人員能夠發(fā)現其中的缺陷。例如，系統為兩張完全不同的圖片生成相同的哈希碼。安全研究人員隨后警告當局，因為潛在的碰撞可能使 CSAM 系統被利用。

　　然而，蘋(píng)果否認了這些說(shuō)法。蘋(píng)果在給Motherboard 的一份聲明中表示，開(kāi)發(fā)者提取的 NeuralHash 系統版本與 CSAM 檢測系統最終版本中將使用的版本不同。蘋(píng)果公司表示，它已將代碼公開(kāi)供安全研究人員使用，以查找其中的缺陷。該公司表示，服務(wù)器中運行著(zhù)一種私有算法，可在超過(guò)閾值后驗證所有 CSAM 匹配項，然后再進(jìn)行人工驗證。

　　“NeuralHash 算法作為簽名操作系統代碼的一部分 [并且] 安全研究人員可以驗證它的行為是否符合描述，”Apple 的一份文檔中寫(xiě)道。蘋(píng)果還表示，在用戶(hù)通過(guò) 30 個(gè)匹配閾值后，運行在蘋(píng)果服務(wù)器上的第二個(gè)非公開(kāi)算法將檢查結果。

　　約翰霍普金斯大學(xué)密碼學(xué)研究員馬修格林表示，如果開(kāi)發(fā)人員發(fā)現的 NeuralHash 系統中存在沖突，“它們將存在于蘋(píng)果最終激活的系統中。” 蘋(píng)果可能會(huì )在發(fā)布前“重新設計”該功能，“但作為概念證明，這絕對有效，”他談到 GitHub 上共享的信息時(shí)說(shuō)。

　　研究人員 Nicholas Weaver 告訴Motherboard， 如果蘋(píng)果繼續實(shí)施泄露的 NeuralHash 代碼，人們可以“用垃圾圖像惹惱蘋(píng)果的響應團隊，直到他們實(shí)施過(guò)濾器”以消除誤報。

　　供您參考，Apple 不會(huì )直接掃描上傳到 iCloud 的照片。相反，CSAM 檢測系統將照片劃分為與 NCMEC 提供的照片生成的哈希值匹配的哈希值。如果發(fā)現超過(guò) 30 張具有相同哈希值的照片，則會(huì )觸發(fā)審核，之后 Apple 團隊會(huì )查看該照片。但是，根據 Apple 的說(shuō)法，在觸發(fā)審查系統的照片與實(shí)際提交給響應團隊的照片之間還有另一項檢查，這將消除 CSAM 數據庫的曝光。