Компанія Google проводить випробування нової системи reCAPTCHA, яка вимагає від користувачів використання вебкамери та виконання певних жестів рукою, таких як помах або показ відкритої долоні. Цей експериментальний метод розроблений для картографування 21 координати руки з метою підтвердження присутності реальної людини у системі. Проте, тестувальники змогли подолати цю перевірку за лічені дні.
Вони успішно пройшли цю вебкамерну перевірку, використавши статичне стокове фото руки, яке було подано через віртуальну камеру OBS. Важливо зазначити, що для обходу системи не знадобилася участь живої особи, трансляція реального відео або залучення штучного інтелекту. Цей інцидент продемонстрував неочікувану вразливість нового підходу.
Ця перевірка є частиною платформи Google Cloud Fraud Defense, що стоїть за механізмами reCAPTCHA на сторінках входу, реєстраційних формах та сторінках оформлення замовлень. Її основне призначення полягає у виявленні того, що традиційні методи перевірки все частіше пропускають, включаючи автоматизоване створення облікових записів та атаки методом перебору облікових даних.
Коли система активує цю перевірку, браузер запитує дозвіл на доступ до камери, а потім пропонує користувачеві виконати короткий жест. Модель машинного навчання Google записує коротке відео, з якого витягує дані про 21 ключову точку руки, використовуючи ту саму схему визначення орієнтирів, що й інструменти відстеження рук MediaPipe.
Згідно з документацією Google, відзнятий матеріал видаляється відразу після завершення верифікації, аудіозапис не ведеться, а відео ніколи не пов’язується з ідентичністю користувача або не передається третім сторонам. Водночас, на цій же сторінці додається, що будь-які зібрані дані використовуються та зберігаються відповідно до Політики конфіденційності Google.
Таке формулювання створює певну невизначеність щодо того, що саме є правдою, і які саме дані збираються. Користувачі, які не можуть виконати необхідні жести, можуть скористатися існуючими візуальними та аудіозагадками, оскільки ця функція поки що є необов’язковою. Перевірка жестами не замінює старі методи, а лише додає біометричний крок на основі камери.
Після запуску експериментального методу, інтернет-спільнота швидко знайшла спосіб його обходу. Тестувальники, використовуючи лише стокове зображення людини, яка махає рукою, через віртуальну камеру OBS, спрямували reCAPTCHA на цей віртуальний потік. Після кількох коригувань положення зображення, їм вдалося пройти перевірку.
Оскільки вся послідовність може бути автоматизована за допомогою короткого скрипта, система reCAPTCHA з жестами, у її поточному вигляді, створює лише додаткові незручності для звичайних користувачів. При цьому вона надає мінімальний опір потенційним зловмисникам, які намагаються обійти захист автоматизованими засобами.
Система reCAPTCHA стикається з подібними викликами протягом багатьох років. У 2024 році дослідники повідомили про стовідсотковий успіх проти reCAPTCHAv2, використовуючи готові моделі виявлення об’єктів. Минулого року агент OpenAI також був зафіксований, коли натискав на перевірку “Я не робот” від Cloudflare, детально озвучуючи кожен крок.
Тест із жестами рук підвищує ставки для користувачів, оскільки сканування руки є біометричною інформацією, незалежно від обіцянок Google про те, що вона не збирає ваші дані. Цей аспект викликає додаткові питання щодо приватності та безпеки даних, враховуючи природу отриманої інформації.
Менш ніж за два тижні до цих подій компанії Cloudflare, Google, Mozilla та Microsoft спільно запропонували використання Приватних токенів доступу (PACT). Це криптографічна схема, покликана замінити існуючі виклики CAPTCHA, надаючи конфіденційне підтвердження того, що запит походить від легітимного клієнта.
Ця пропозиція виникла на тлі висновків, що приблизно 58% глобальних HTTP-запитів надходять від ботів, що є порогом, якого Cloudflare не очікувала досягти раніше 2027 року. Це свідчить про значне зростання автоматизованої активності в мережі.
Боббі Холлі, технічний директор Firefox у Mozilla, зазначив у відповідній заяві: “Ми можемо створити краще рішення, яке збереже високий рівень конфіденційності та забезпечить значно менш дратівливий досвід для реальних людей, які користуються інтернетом”. Наразі Google не повідомила, чи буде тест із жестами рук випущений для загального використання.



