19 августа 2021
В то время, как Facebook откладывает выход своих сотрудников в офисы до января 2022 года, контрактор самого же Facebook — компания Accenture, — требует, чтобы сотрудники, выполняющие работу для Facebook, вышли в офисы в течение двух недель. Если точнее — уже потребовала и уже почти все вышли со второго августа. Исключение составили лишь некоторые, получившие соответствующие медицинские предписания — например, о том, что в семье имеется представитель группы риска для заболевания Covid-19, причем получить такую справку надо было в течение двух недель или в свой отпуск. Справки выдаются на довольно короткое время, между прочим.
Самое ироничное в том, что сотрудники контрактора работают точно в тех же офисах, что и сотрудники Facebook. И вот вроде бы выглядят так же, работают так же и сидят на тех же местах — а совершенно другие люди, видимо. Или иллюстрация к дискуссии о разнице штатных сотрудников и свободных ФОПов.
Специалисты по безопасности продолжают изучать предложения Apple по сканированию пользовательского контента и доизучались до создания коллизии в NeuralHash — алгоритма Apple по созданию уникального хеша (точнее говоря, шингла) для фотографий, который затем сравнивается с базой известных образцов нелегального контента.
Коллизия заключается в возможности создать изображение, шингл которого будет идентичен известному, при том, что само изображение будет сильно отличаться от него. Такого результата добился один из пользователей Github, который использовал версию алгоритма на Python, которая, по его словам, является результатом reverse-engineering-а исходного алгоритма, обнаруженного в iOS.
Apple прокомментировала журналистам, что система разрабатывалась с учетом возможности коллизий — кстати, по идее, она должна использовать нечеткие шинглы (то есть совпадающие не полностью), и в таком случае коллизии совершенно неизбежны. Для того, чтобы проконтролировать false positive случаи, компания планирует использование второго алгоритма хеширования на серверах, детали работы которого не раскрываются и который будет запускаться только на позитивных результатах NeuralHash. Если результаты обоих алгоритмов совпадут, случай будет передан модераторам-людям.
Сложно понять, как использовать такую коллизию — если в случае обнаружения в алгоритме шифрования возможности генерации одинаковых хешей для разных наборов данных вектор атаки понятен, то в данном случае потребуется сначала обзавестись известным образцом нелегального контента, сгенерировать несколько десятков совпадающих по хешам картинок и затем как-то запихать их на смартфон жертвы — чтобы в итоге при ручной проверке срабатывания было выявлено false positive.
UPDATE: Да, и Apple утверждает, что конкретно эта уязвимость была только в исходной версии и давно исправлена.