В прошлом году компания Google представила reCAPTCHA V3, последнюю версию верификации, которая проверяет, кем осуществляется доступ к сайтам – ботом или человеком. Но, как выяснилось, новая версия ставит под угрозу конфиденциальность пользователей.
Отказ от конфиденциальности
reCAPTCHA v3 сильно отличается от своих предыдущих версий. Раньше пользователи должны были выполнить простую задачу, например, распознать искаженный текст и напечатать его в специальном поле, чтобы попасть на нужный сайт.
Но обновленная версия вообще не ставит таких задач. Вместо этого она использует методы поведенческого анализа (или слежка Google за пользователями). Другими словами reCAPTCHA v3 отслеживает интернет-активность человека в течение определенного периода времени и присваивает оценку риска на основе этой активности. Пользователи с наименьшим баллом риска смогут получить доступ к сайту, в то время как те, кто находится в группе “высокой степени риска” будут либо заблокированы на сайте, либо им придется пройти дополнительную проверку. Система работает незаметно – в фоновом режиме.
Несмотря на то, что идея избежать викторин для проверки кажется привлекательной, нужно понимать, что такой компромисс бьет по конфиденциальности. Google открыто заявляет, что CAPTCHA – это, по сути, проверка личности, а не доказательство того, что вы не робот.
Более 10 миллионов сайтов уже внедрили reCAPTCHA V3 в качестве меры безопасности. Сюда входит значительная часть из 10 000 лучших сайтов мира. Google также разрабатывает корпоративную версию reCAPTCHA V3 со специальным кодом, который предоставит более подробную информацию об уровне риска пользователя.
Взлом reCAPTCHA
Ранее в этом году группа исследователей опубликовала статью, в которой был представлен возможный метод обхода Google reCAPTCHA V3. Для этого они использовали Reinforcement Learning (RL) – систему обучения, которая учит машины имитировать движения человека при просмотре страниц, тем самым заставляя reCAPTCHA думать, что они не боты. По результатам эксперимента, достигнутый коэффициент составил 0,99 баллов, что позволило успешно победить reCAPTCHA.
Для моделирования человеческого поведения, среда reCAPTCHA не предполагала использования инструментов автоматизации. Она также не подключалась к прокси и не входила в аккаунт Google. Теперь исследователи планируют использовать свою методику Reinforcement Learning на нескольких страницах, чтобы увидеть, сможет ли механизм адаптивного анализа рисков reCAPTCHA обнаружить, что к сайту обращается бот.
