Tým výzkumníků z Imperial College London přišel s jednoduchou metodou, jak se vyhnout detekci pomocí mechanismů skenování obsahu obrázků, jako je CSAM od Apple.
CSAM (Child Sexual Abuse Material) byl kontroverzní návrh předložený společností Apple začátkem tohoto roku. Návrh byl nakonec v září stažen po silném odporu ze strany klientů, zájmových skupin a výzkumníků.
Apple neopustil CSAM, místo toho odložil jeho vydání na rok 2022 a sliboval nové sady vylepšení a transparentnější přístup k jeho vývoji.
Hlavní myšlenkou je porovnat hodnoty hash (ID) obrázků soukromě sdílených mezi uživateli iOS s databází hash poskytovanou NCMEC a dalšími organizacemi pro bezpečnost dětí.
Pokud je nalezena shoda, recenzenti Apple zkontrolují obsah a upozorní distribuční orgány na zneužívání dětí a pornografii, to vše bez ohrožení soukromí lidí sdílejících legální (neshodné) obrázky.
Teoreticky to zní jako dobrý způsob, jak zabránit šíření škodlivého materiálu, ale v praxi to nevyhnutelně otevírá „Pandořinu skříňku“ pro hromadné sledování.
Otázka, kterou si vědci z Imperial College London položili, však zní: Fungoval by takový detekční systém v první řadě spolehlivě?
Oklamání algoritmu
Výzkum prezentovaný na nedávném USENIX Security Symposium britskými výzkumníky ukazuje, že ani systém CSAM společnosti Apple, ani žádný takový systém by účinně neodhalil nelegální materiál.
Jak vědci vysvětlují, algoritmy detekce obsahu lze oklamat 99,9 % času bez vizuální úpravy obrázků.
Trik spočívá v použití speciálního hash filtru na snímky, díky nimž budou vypadat jinak než detekční algoritmus, i když zpracovaný výsledek vypadá lidskému oku identicky.
Článek představuje dva útoky white-box a jeden black-box útoky na diskrétní kosinové transformační algoritmy, které úspěšně mění jedinečný podpis obrazu na zařízení a pomáhají mu létat pod radarem.
Obrázky před a za filtrem vypadají vizuálně identicky
Zdroj: Imperial College London
Protiopatření a komplikace
Možným protiopatřením k únikovým metodám uvedeným v článku by bylo použití vyššího detekčního prahu, což by vedlo ke zvýšení falešně pozitivních výsledků.
Dalším přístupem by bylo označit uživatele až poté, co shody Image ID dosáhnou určitého prahového počtu, ale to přináší komplikace s pravděpodobností.
Je také nepravděpodobné, že použití dodatečné transformace obrazu před výpočtem percepčního hash obrazu způsobí, že detekce budou spolehlivější.
Zvýšení velikosti hash z 64 na 256 by v některých případech fungovalo, ale to přináší obavy o soukromí, protože delší hash kóduje více obrazových informací.
Přesto výzkum ukazuje, že současné percepční hashovací algoritmy nejsou tak robustní, jak by měly být pro přijetí při zmírňování strategií šíření nelegálního obsahu.
„Naše výsledky vrhají vážné pochybnosti na robustnost nepřátelských percepčních hašování na klientské straně skenování útoků na černou skříňku, jak je v současné době navrženo. Detekční prahy potřebné ke ztížení útoku budou pravděpodobně velmi vysoké, pravděpodobně bude vyžadovat více než miliardu obrázků, které budou každý den nesprávně nahlášeny, což vyvolává vážné obavy o soukromí.' - uzavírá dokument.
Jde o významný objev, který přichází v době, kdy vlády zvažují invazivní kontrolní mechanismy založené na hash.
Příspěvek ukazuje, že aby nelegální systémy detekce obrazu ve své současné podobě spolehlivě fungovaly, lidé se budou muset vzdát svého soukromí a v současné době neexistuje žádný technický způsob, jak to obejít.
Co myslíš?
