Attacking perceptual hashes

Abstract

Perceptual hashing algorithms are widely employed for detecting non-compliant content, such as Child Sexual Abuse Material (CSAM), as well as for verifying gaze data quality by generating hash values that remain consistent despite minor image modifications. However, recent studies have revealed vulnerabilities in these algorithms, particularly in Apple’s NeuralHash, which adversaries could exploit to evade detection or create malicious collisions. This thesis investigates the robustness of NeuralHash against a range of adversarial attacks. We first modify and evaluate existing gradient-based collision and evasion attacks, incorporating alternative visual similarity metrics-using LPIPS for collision attacks and LPIPS, MSE for evasion attacks-instead of the traditional SSIM. Our experiments show that LPIPS improves efficiency in collision attacks, requiring fewer optimization steps and introducing less perceptual distortion. In evasion attacks, MSE, SSIM, and LPIPS all achieved a 100% success rate across varying Hamming distances, with SSIM proving the most efficient. We then analyze collage attacks by constructing image collages in different grid configurations, revealing that duplicating the same image or combining different images can substantially alter NeuralHash outputs, enabling evading detection. Furthermore, we develop a image editing attack framework utilizing Breadth-First Search (BFS) and hill-climbing strategies. This framework systematically applies sequences of simple image transformations, such as rotation and colour inversion, to evade NeuralHash detection effectively. Our findings highlight critical vulnerabilities in NeuralHash, showing that adversaries with even minimal technical expertise can exploit these weaknesses. The implications are significant, as they undermine the efficacy of perceptual hashing algorithms in combating non-compliant content. This thesis concludes by stressing the need for more robust perceptual hashing methods and suggests future research directions to enhance the security and reliability of these systems. Perceptual-Hashing-Algorithmen werden häufig zur Erkennung unerlaubter Inhalte wie etwa Material zum sexuellen Missbrauch von Kindern (Child Sexual Abuse Material, CSAM) und zur Qualitätssicherung von Blickrichtungsdaten (gaze data) verwendet. Diese Algorithmen generieren Hashwerte, die trotz geringfügiger Bildveränderungen konsistent bleiben. Aktuelle Studien haben jedoch Schwachstellen in diesen Algorithmen aufgedeckt, insbesondere in Apples NeuralHash, die von Angreifern ausgenutzt werden könnten, um die Erkennung zu umgehen oder schädliche Kollisionen zu erzeugen. Diese Arbeit untersucht die Robustheit von NeuralHash gegenüber verschiedenen Angriffen. Zunächst modifizieren und bewerten wir bestehende, gradientenbasierte Kollisions- und Umgehungsangriffe, indem wir alternative Metriken für die visuelle Ähnlichkeit einführen - LPIPS für Kollisionsangriffe und LPIPS sowie MSE für Umgehungsangriffe - anstelle des herkömmlichen SSIM. Unsere Experimente zeigen, dass LPIPS die Effizienz von Kollisionsangriffen verbessert, indem weniger Optimierungsschritte erforderlich sind und die wahrnehmbare Verzerrung der Bilder verringert wird. Bei Umgehungsangriffen erreichten MSE, SSIM und LPIPS jeweils eine Erfolgsrate von 100% bei verschiedenen Hamming-Distanzen, wobei sich SSIM als besonders effizient erwies. Anschließend analysieren wir Collage-Angriffe, indem wir Bildcollagen in unterschiedlichen Rasterkonfigurationen erstellen. Hier zeigt sich, dass das Duplizieren desselben Bildes oder das Kombinieren verschiedener Bilder die NeuralHash-Ausgaben erheblich verändern kann, was eine Umgehung der Erkennung ermöglicht. Darüber hinaus entwickeln wir ein Angriffsschema auf Basis von Bildbearbeitung unter Verwendung von Breadth-First Search (BFS) und Hill-Climbing-Strategien. Dieses Schema wendet systematisch Sequenzen einfacher Bildtransformationen an, wie Rotation und Farb-Invertierung, um NeuralHash effektiv zu umgehen. Unsere Ergebnisse zeigen kritische Schwachstellen in NeuralHash auf und verdeutlichen, dass selbst Angreifer mit minimalem technischem Fachwissen diese Schwächen ausnutzen können. Diese Implikationen sind von großer Bedeutung, da sie die Effektivität von Perceptual-Hashing-Algorithmen zur Bekämpfung unerlaubter Inhalte erheblich in Frage stellen. Diese Arbeit betont abschließend die Notwendigkeit robusterer Perceptual-Hashing-Methoden und schlägt künftige Forschungsrichtungen vor, um die Sicherheit und Zuverlässigkeit dieser Systeme zu verbessern.