Bleeping computer se hace eco de una investigación realizada por un equipo de investigadores del Imperial College de Londres, que han presentado un método sencillo para evadir la detección mediante mecanismos de escaneo de contenido de imágenes, como el CSAM de Apple.
CSAM (Child Sexual Abuse Material – Material de Abuso Sexual Infantil) fue una controvertida propuesta presentada por Apple a principios de este año. La propuesta finalmente se retractó en septiembre, tras una fuerte reacción de clientes, grupos de defensa e investigadores.
Apple no ha abandonado CSAM, sino que ha pospuesto su implementación para 2022, prometiendo nuevas rondas de mejoras y un enfoque más transparente en su desarrollo.
La idea principal es comparar hashes de imágenes (ID) de imágenes compartidas de forma privada entre usuarios de iOS con una base de datos de hashes proporcionada por NCMEC y otras organizaciones de seguridad infantil.
Si se encuentra una coincidencia, los revisores de Apple investigarán el contenido y alertarán a las autoridades de la distribución de abuso infantil y pornografía, todo sin comprometer la privacidad de las personas que comparten imágenes legales (no coincidencias).
Esto teóricamente suena como un buen sistema para evitar la difusión de material dañino, pero prácticamente, inevitablemente abre una “caja de Pandora” para la vigilancia masiva.
Sin embargo, la pregunta que hicieron los investigadores del Imperial College de Londres es, ¿un sistema de detección de este tipo funcionaría de manera confiable en primer lugar?
Activando el algoritmo
La investigación presentada en el reciente Simposio de Seguridad USENIX por investigadores británicos muestra que ni el CSAM de Apple ni ningún sistema de este tipo detectarían eficazmente material ilegal.
Como explican los investigadores, es posible engañar a los algoritmos de detección de contenido el 99,9% del tiempo sin cambiar visualmente las imágenes.
El truco es aplicar un filtro hash especial en las imágenes, haciendo que parezcan diferentes al algoritmo de detección, incluso si el resultado procesado se ve idéntico al ojo humano.
El documento presenta dos ataques de caja blanca y uno de caja negra para algoritmos discretos basados en transformaciones de coseno, alterando con éxito la firma única de una imagen en un dispositivo y ayudándola a volar bajo el radar.
Fuente: Imperial College London
Contramedidas y complicaciones
Una posible contramedida a los métodos de evasión presentados en el documento sería utilizar un umbral de detección más grande, lo que conduciría a un aumento de los falsos positivos.
Otro enfoque sería marcar a los usuarios solo después de que las coincidencias de ID de imagen alcancen un cierto número umbral, pero esto introduce complicaciones de probabilidad.
La aplicación de una transformación adicional de la imagen antes de calcular el hash perceptivo de la imagen también es poco probable que haga que las detecciones sean más confiables.
Aumentar el tamaño del hash de 64 a 256 funcionaría en algunos casos, pero esto introduce problemas de privacidad a medida que los hashes más largos codifican más información sobre la imagen.
En general, la investigación demuestra que los algoritmos de hash perceptivo actuales no son tan sólidos como deberían ser para su adopción en estrategias ilegales de mitigación de la distribución de contenido.
“Nuestros resultados arrojan fuertes dudas sobre la solidez de los ataques contradictorios de caja negra del escaneo perceptivo basado en hash del lado del cliente como se propone actualmente. Es probable que los umbrales de detección necesarios para hacer que el ataque sea más difícil sean muy grandes, probablemente requiriendo que más de mil millones de imágenes se marquen erróneamente a diario, lo que plantea fuertes preocupaciones de privacidad”. – concluye el documento.
Este es un hallazgo significativo que se produce en un momento en que los gobiernos están considerando mecanismos de vigilancia invasivos basados en el hash.
El documento muestra que para que los sistemas ilegales de detección de imágenes funcionen de manera confiable en su forma actual, las personas tendrán que renunciar a su privacidad, y no hay manera técnica de evitar esto en este momento.
