Aktualizacja: Apple wspomniał o drugiej inspekcji serwera, a profesjonalna firma zajmująca się widzeniem komputerowym przedstawiła możliwość tego, co można opisać w „Jak może działać druga inspekcja” poniżej.
Po tym, jak programiści dokonali inżynierii wstecznej, wczesna wersja systemu Apple CSAM została skutecznie oszukana, aby oznaczyć niewinny obraz.Apple stwierdził jednak, że ma dodatkowe zabezpieczenia, aby zapobiec takim sytuacjom w prawdziwym życiu.
Najnowsza zmiana nastąpiła po opublikowaniu algorytmu NeuralHash na stronie dewelopera open source GitHub, każdy może z nim eksperymentować…
Wszystkie systemy CSAM działają poprzez importowanie bazy danych znanych materiałów dotyczących wykorzystywania seksualnego dzieci z organizacji takich jak National Center for Missing and Exploited Children (NCMEC).Baza danych dostarczana jest w postaci skrótów lub cyfrowych odcisków palców z obrazów.
Chociaż większość gigantów technologicznych skanuje zdjęcia przesłane do chmury, Apple używa algorytmu NeuralHash na iPhonie klienta do wygenerowania wartości skrótu przechowywanego zdjęcia, a następnie porównuje ją z pobraną kopią wartości skrótu CSAM.
Wczoraj programista twierdził, że dokonał inżynierii wstecznej algorytmu Apple i udostępnił kod na GitHub – twierdzenie to zostało skutecznie potwierdzone przez Apple.
W ciągu kilku godzin po wydaniu GitHib naukowcy z powodzeniem wykorzystali algorytm do stworzenia zamierzonego fałszywie pozytywnego – dwóch zupełnie różnych obrazów, które wygenerowały tę samą wartość skrótu.Nazywa się to kolizją.
Dla takich systemów zawsze istnieje ryzyko kolizji, bo hash to oczywiście mocno uproszczona reprezentacja obrazu, ale zaskakujące jest to, że ktoś potrafi tak szybko wygenerować obraz.
Celowe zderzenie jest tutaj tylko dowodem koncepcji.Deweloperzy nie mają dostępu do bazy skrótów CSAM, co wymagałoby tworzenia fałszywych alarmów w systemie czasu rzeczywistego, ale dowodzi to, że ataki kolizyjne są w zasadzie stosunkowo łatwe.
Apple skutecznie potwierdził, że algorytm jest podstawą własnego systemu, ale powiedział płycie głównej, że to nie jest ostateczna wersja.Firma oświadczyła również, że nigdy nie zamierzała zachować ich w tajemnicy.
Apple powiedział Motherboard w e-mailu, że wersja analizowana przez użytkownika na GitHub jest wersją ogólną, a nie ostateczną wersją używaną do wykrywania iCloud Photo CSAM.Apple powiedział, że ujawnił również algorytm.
„Algorytm NeuralHash [...] jest częścią podpisanego kodu systemu operacyjnego [a] badacze bezpieczeństwa mogą zweryfikować, czy jego zachowanie jest zgodne z opisem”, napisał dokument Apple.
Firma dodała, że są jeszcze dwa kroki: uruchomienie dodatkowego (tajnego) systemu dopasowywania na własnym serwerze i ręczne sprawdzenie.
Apple stwierdził również, że gdy użytkownicy przekroczą próg 30 dopasowań, drugi niepubliczny algorytm działający na serwerach Apple sprawdzi wyniki.
„Ten niezależny skrót został wybrany, aby odrzucić możliwość, że błędny NeuralHash pasuje do zaszyfrowanej bazy danych CSAM na urządzeniu z powodu wrogich zakłóceń obrazów innych niż CSAM i przekracza próg dopasowania”.
Brad Dwyer z Roboflow znalazł sposób na łatwe rozróżnienie dwóch obrazów opublikowanych jako dowód koncepcji ataku kolizyjnego.
Jestem ciekaw, jak te obrazy wyglądają w CLIP podobnego, ale innego ekstraktora cech neuronowych OpenAI.CLIP działa podobnie do NeuralHash;pobiera obraz i wykorzystuje sieć neuronową do generowania zestawu wektorów cech, które mapują zawartość obrazu.
Ale sieć OpenAI jest inna.Jest to ogólny model, który może mapować obrazy i tekst.Oznacza to, że możemy go użyć do wyodrębnienia zrozumiałych dla człowieka informacji o obrazach.
Przepuściłem dwa powyższe obrazy kolizji przez CLIP, aby sprawdzić, czy również nie został oszukany.Krótka odpowiedź brzmi: nie.Oznacza to, że Apple powinno mieć możliwość zastosowania drugiej sieci ekstrakcji funkcji (takiej jak CLIP) do wykrytych obrazów CSAM, aby określić, czy są one prawdziwe, czy fałszywe.Znacznie trudniej jest generować obrazy, które oszukują dwie sieci jednocześnie.
Wreszcie, jak wspomniano wcześniej, obrazy są ręcznie przeglądane w celu potwierdzenia, że są to obrazy CSAM.
Badacz bezpieczeństwa powiedział, że jedynym realnym ryzykiem jest to, że każdy, kto chce zdenerwować Apple, może dostarczyć fałszywe alarmy recenzentom.
„Apple faktycznie zaprojektowało ten system, więc funkcja skrótu nie musi być utrzymywana w tajemnicy, ponieważ jedyną rzeczą, jaką można zrobić z„nie-CSAM jako CSAM”, jest zirytowanie zespołu odpowiedzi Apple kilkoma niepotrzebnymi obrazami, dopóki nie zaimplementują filtrów w celu wyeliminowania analiza Te śmieci, które są w przygotowaniu, są fałszywie pozytywne” – powiedział Motherboard na czacie online Nicholas Weaver, starszy pracownik naukowy z Institute of International Computer Science na Uniwersytecie Kalifornijskim w Berkeley.
Prywatność to kwestia coraz większego zaniepokojenia w dzisiejszym świecie.Śledź wszystkie raporty związane z prywatnością, bezpieczeństwem itp. w naszych wytycznych.
Ben Lovejoy jest brytyjskim pisarzem technicznym i redaktorem UE dla 9to5Mac.Jest znany ze swoich felietonów i artykułów w pamiętniku, z czasem badając swoje doświadczenia z produktami Apple, aby uzyskać bardziej kompleksowe recenzje.Pisze też powieści, są dwa techniczne thrillery, kilka krótkich filmów science fiction i komedia romantyczna!
Czas publikacji: 20 sierpnia-2021