開發者通過逆向編譯,發現蘋果用於檢測 iCloud 照片中是否存在兒童性虐待材料 (CSAM) 的 NeuralHash 算法存在漏洞,可能會被黑客利用。開發者 Asuhariet Yvgar 表示,他對隱藏代碼的 iOS 14.3 中的 NeuralHash 算法進行了逆向工程,並用 Python 重新構建了它。
經過深入調查研究之後,他發現存在一個衝突可能,即兩個不匹配的圖像共享相同的哈希值的問題。安全研究人員對這種可能性發出了警告,因為潛在的碰撞可能使 CSAM 系統被利用。
在給 Motherboard 的一份聲明中,蘋果表示 Yvgar 逆向工程的 NeuralHash 版本與將用於 CSAM 系統的最終實現不同。 蘋果還表示,它已將該算法公開以供安全研究人員驗證,但還有第二個私有服務器端算法可以在超過閾值后驗證 CSAM 匹配,以及人工驗證。
然而,蘋果在一封電子郵件中告訴 Motherboard, 用戶在 GitHub 上分析的那個版本是一個通用版本,而不是用於 iCloud 照片 CSAM 檢測的最終版本。蘋果表示,它還公開了該算法。
蘋果在一份支持文檔中寫道:“NeuralHash 算法 […] 作為簽名操作系統代碼的一部分 [並且] 安全研究人員可以驗證它的行為是否符合描述”。蘋果還表示,在用戶通過 30 個匹配閾值后,運行在蘋果服務器上的第二個非公開算法將檢查結果。