Apple apresentou o sistema de detecção CSAM para iOS, iPadOS e macOS no início deste mês. Desde o seu anúncio, o recurso de detecção de CSAM tem sido um tópico de debate. Não apenas pesquisadores de segurança, mas até mesmo AppleOs próprios funcionários e membros do parlamento alemão estavam reclamando. Agora, um desenvolvedor relatou que o código NeuralHash usado para detectar fotos CSAM foi encontrado no iOS 14.3.
Um desenvolvedor independente, Asuhariet Ygvar, postou o código para uma versão reconstruída do NeuralHash em Python no Github. Ele diz que o código que extraiu era de uma versão iOS lançada há mais de seis meses, apesar de Apple alegando que as versões atuais do iOS não têm detecção CSAM. Ygvar postou o código no Github para que outros pesquisadores de segurança o aprofundassem.
Ao ver o código, vários pesquisadores de segurança foram capazes de encontrar falhas nele. Por exemplo, o sistema estava gerando os mesmos códigos hash para duas imagens completamente diferentes. Os pesquisadores de segurança alertaram as autoridades porque o potencial de colisões poderia permitir a exploração do sistema CSAM.
Contudo, Apple nega as reivindicações. Em uma declaração para Placa-mãe, Apple disse que a versão do sistema NeuralHash extraída pelo desenvolvedor não é a mesma que será usada na versão final do sistema de detecção CSAM. Apple diz que tornou o código publicamente disponível para os pesquisadores de segurança encontrarem falhas nele. A empresa diz que há um algoritmo privado em execução no servidor que verifica todas as correspondências do CSAM depois que o limite é excedido, antes de ir para verificação humana.
“O algoritmo NeuralHash [… is] incluído como parte do código do sistema operacional assinado [and] pesquisadores de segurança podem verificar se ele se comporta conforme descrito ”, um dos Appleas partes da documentação são lidas. Apple também disse que depois que um usuário ultraa o limite de 30 correspondências, um segundo algoritmo não público que é executado em Appleos servidores de verificarão os resultados.
Matthew Green, um pesquisador de criptografia da Universidade Johns Hopkins diz que se houver colisões no sistema NeuralHash encontrado pelo desenvolvedor, “elas existirão no sistema Apple eventualmente se ativa. ” É possível que Apple pode “refazer” a função antes do lançamento, “mas como uma prova de conceito, isso é definitivamente válido”, disse ele sobre as informações compartilhadas no GitHub.
Nicholas Weaver, um pesquisador disse Placa-mãe, isso se Apple vai para a implementação do código NeuralHash que vazou, as pessoas podem “incomodar Appleda equipe de resposta com imagens de lixo até que implementem um filtro ”para se livrar dos falsos positivos.
Para sua referência, Apple não verifica diretamente as fotos que estão sendo enviadas para o iCloud. Em vez disso, o sistema de detecção de CSAM divide as fotos em hashes que são comparados com os hashes gerados por fotos fornecidas pelo NCMEC. Se houver mais de 30 fotos nas quais os mesmos hashes forem encontrados, uma revisão será acionada, após a qual um Apple equipe dá uma olhada na foto. Mas, de acordo com Apple, há outra verificação entre a foto que aciona o sistema de revisão e as fotos que realmente chegam à equipe de resposta, o que evitará que o banco de dados CSAM seja exposto.
O que você acha da digitalização de fotos no iCloud? Você acha que a detecção de CSAM deve ser opcional, ou você acredita Apple deve ser capaz de digitalizar fotos para segurança infantil? Deixe-nos saber sua opinião na seção de comentários abaixo!
