Компания Google проводит испытания новой системы reCAPTCHA, которая требует от пользователей использования веб-камеры и выполнения определенных жестов рукой, таких как взмах или показ открытой ладони. Этот экспериментальный метод разработан для картографирования 21 координаты руки с целью подтверждения присутствия реального человека в системе. Однако тестировщики смогли преодолеть эту проверку за считанные дни.
Они успешно прошли эту веб-камерную проверку, использовав статическое стоковое фото руки, которое было подано через виртуальную камеру OBS. Важно отметить, что для обхода системы не потребовалось участие живого человека, трансляция реального видео или привлечение искусственного интеллекта. Этот инцидент продемонстрировал неожиданную уязвимость нового подхода.
Эта проверка является частью платформы Google Cloud Fraud Defense, которая стоит за механизмами reCAPTCHA на страницах входа, регистрационных формах и страницах оформления заказов. Ее основное назначение состоит в выявлении того, что традиционные методы проверки все чаще пропускают, включая автоматизированное создание учетных записей и атаки методом перебора учетных данных.
Когда система активирует эту проверку, браузер запрашивает разрешение на доступ к камере, а затем предлагает пользователю выполнить короткий жест. Модель машинного обучения Google записывает короткое видео, из которого извлекает данные о 21 ключевой точке руки, используя ту же схему определения ориентиров, что и инструменты отслеживания рук MediaPipe.
Согласно документации Google, отснятый материал удаляется сразу после завершения верификации, аудиозапись не ведется, а видео никогда не связывается с личностью пользователя или не передается третьим сторонам. В то же время, на этой же странице добавляется, что любые собранные данные используются и хранятся в соответствии с Политикой конфиденциальности Google.
Такая формулировка создает определенную неопределенность относительно того, что именно является правдой, и какие именно данные собираются. Пользователи, которые не могут выполнить необходимые жесты, могут воспользоваться существующими визуальными и аудио-загадками, поскольку эта функция пока является необязательной. Проверка жестами не заменяет старые методы, а лишь добавляет биометрический шаг на основе камеры.
После запуска экспериментального метода, интернет-сообщество быстро нашло способ его обхода. Тестировщики, используя лишь стоковое изображение человека, махающего рукой, через виртуальную камеру OBS, направили reCAPTCHA на этот виртуальный поток. После нескольких корректировок положения изображения, им удалось пройти проверку.
Поскольку вся последовательность может быть автоматизирована с помощью короткого скрипта, система reCAPTCHA с жестами, в ее текущем виде, создает лишь дополнительные неудобства для обычных пользователей. При этом она оказывает минимальное сопротивление потенциальным злоумышленникам, которые пытаются обойти защиту автоматизированными средствами.
Система reCAPTCHA сталкивается с подобными вызовами на протяжении многих лет. В 2024 году исследователи сообщили о стопроцентном успехе против reCAPTCHAv2, используя готовые модели обнаружения объектов. В прошлом году агент OpenAI также был зафиксирован, когда нажимал на проверку «Я не робот» от Cloudflare, подробно озвучивая каждый шаг.
Тест с жестами рук повышает ставки для пользователей, поскольку сканирование руки является биометрической информацией, независимо от обещаний Google о том, что она не собирает ваши данные. Этот аспект вызывает дополнительные вопросы относительно приватности и безопасности данных, учитывая природу полученной информации.
Менее чем за две недели до этих событий компании Cloudflare, Google, Mozilla и Microsoft совместно предложили использование Приватных токенов доступа (PACT). Это криптографическая схема, призванная заменить существующие вызовы CAPTCHA, предоставляя конфиденциальное подтверждение того, что запрос исходит от легитимного клиента.
Это предложение возникло на фоне выводов, что примерно 58% глобальных HTTP-запросов поступают от ботов, что является порогом, которого Cloudflare не ожидала достичь ранее 2027 года. Это свидетельствует о значительном росте автоматизированной активности в сети.
Бобби Холли, технический директор Firefox в Mozilla, отметил в соответствующем заявлении: «Мы можем создать лучшее решение, которое сохранит высокий уровень конфиденциальности и обеспечит значительно менее раздражающий опыт для реальных людей, пользующихся интернетом». В настоящее время Google не сообщила, будет ли тест с жестами рук выпущен для общего использования.



