Se ha hablado mucho sobre el escáner CSAM (Child Sexual Abuse Material) de Apple. Ahora, el escáner vuelve a ser noticia, dado que parece que los piratas informáticos podrían estar un paso más cerca de engañar al escáner CSAM y crear falsos positivos.
El problema con el escáner CSAM de Apple
A Usuario de Reddit Hizo ingeniería inversa para comprender el algoritmo NeuralHash de Apple para la detección de CSAM en el dispositivo. Al hacerlo, descubrieron una factible colisión en el hash que podría generar falsos positivos. A colisión es un conflicto potencial que se genera cuando dos datos disponen el mismo valor hash, suma de comprobación, huella digital o resumen criptográfico.
Un codificador llamado Cory Cornelius produjo un colisión en el algoritmo, lo que significa que encontraron dos imágenes que crean el mismo hash. Esto podría usarse para crear falsos positivos, lo que señalaría a Apple que las imágenes contienen abuso infantil, inclusive si son absolutamente inocuas.
Aunque ciertamente no sería fácil, existe la oportunidad de que un pirata informático pueda generar una imagen que active las alertas de CSAM aún cuando no sea una imagen de CSAM.
Pero hay una diferencia entre decir «sí, eso es casi seguro que sucederá, en teoría» y verlo suceder en la vida real. Apple hizo todo lo factible por mantener en secreto la función hash, debido a que conocía los riesgos.
– Matthew Green (@matthew_d_green) 18 de agosto de 2021
Apple tiene capas diseñadas para asegurarse de que el falso positivo no cause ningún problema. A modo de ejemplo, cuando se marca una imagen, debe ser revisada por una persona real antes de enviarla a la policía. Antes inclusive de llegar a ese punto, el pirata informático necesitaría obtener acceso a la base de datos hash del NCMEC, crear 30 imágenes en colisión y después colocarlas todas en el teléfono del objetivo.
Una vez dicho esto, es solo otro problema que ocurre con el escáner CSAM de Apple. Ya ha habido una tremenda oposición, y el hecho de que los programadores hayan podido realizar ingeniería inversa es muy preocupante. En lugar de que una colisión tarde meses en aparecer, se descubrió una a las pocas horas de que el código se hiciera público. Eso es preocupante.
¿Apple hará algo?
Solo el tiempo dirá cómo afronta Apple esta situación. La compañía podría dar marcha atrás en su plan de usar el algoritmo NeuralHash. Mínimamente, la compañía debe abordar la situación, dado que la confianza en el plan de escaneo de fotografías de Apple ya es baja.
setTimeout(function(){
!function(f,b,e,v,n,t,s)
{if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};
if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′;
n.queue=[];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];
s.parentNode.insertBefore(t,s) } (window, document,’script’,
‘https://connect.facebook.net/en_US/fbevents.js’);
fbq(‘init’, ‘335401813750447’);
fbq(‘track’, ‘PageView’);
},3000);
