Разное

Google тестирует reCAPTCHA со сканированием руки через камеру

Google тестирует reCAPTCHA со сканированием руки через камеру
Фото: © B. Naumkin

Google тестирует новый вариант reCAPTCHA, который просит пользователя включить камеру и показать открытую ладонь или помахать рукой. Система анализирует 21 точку на пальцах и суставах, чтобы определить, находится ли перед камерой живой человек. Экспериментальная проверка появилась в составе Google Cloud Fraud Defense — платформы, которая используется для защиты форм входа, регистрации и онлайн-покупок.

Идея Google понятна: старые CAPTCHA всё хуже справляются с ботами, автоматическим созданием аккаунтов и другими атаками. При срабатывании новой проверки браузер запрашивает доступ к камере, записывает короткое видео жеста и извлекает данные о положении руки по схеме, похожей на ту, что используется в MediaPipe. Google утверждает, что видео удаляется после проверки, звук не записывается, ролик не привязывается к личности пользователя и не передаётся третьим лицам. При этом в документации также говорится, что собранные данные обрабатываются по политике конфиденциальности Google, из-за чего остаются вопросы о том, какие именно сведения сохраняются.

Главная проблема в том, что новую защиту уже смогли обойти. Тестеры использовали обычное стоковое фото руки, передали его в reCAPTCHA через OBS Virtual Camera и после небольшой настройки положения изображения прошли проверку без живого человека, видео и ИИ. Если такой сценарий можно автоматизировать скриптом, текущая версия жестовой reCAPTCHA скорее добавляет неудобства обычным пользователям, чем серьёзно мешает атакующим.

Для Google это не первая проблема с CAPTCHA. В 2024 году исследователи сообщали о 100-процентном успехе при обходе reCAPTCHAv2 с помощью готовых моделей распознавания объектов, а позднее ИИ-агент OpenAI уже проходил проверку Cloudflare «Я не робот». Но камера с анализом руки поднимает ставки: жест или скан ладони воспринимается как биометрическая информация, даже если компания обещает не использовать её для идентификации.

Пока Google не сообщила, станет ли такая reCAPTCHA массовой. При этом сама индустрия уже ищет менее раздражающие и более приватные альтернативы: Cloudflare, Google, Mozilla и Microsoft недавно предложили Private Access Control Tokens — криптографический способ подтверждать, что запрос пришёл от легитимного клиента, без привычных CAPTCHA.