Google представила капчу нового поколения, которая включает веб-камеру пользователя и требует показать в объектив конкретный жест. Провалилась за считанные недели. Обойти защиту оказалось проще, чем пройти её честно.
Что придумали - и почему не сработало
Идея выглядела перспективно: вместо бесконечного поиска светофоров на мутных фотографиях - один жест перед камерой. Живой человек, живое движение. Казалось бы, такое не подделаешь. Подделали.
Выяснилось, что капчу разносит даже распечатанный на принтере лист бумаги. Достаточно заранее распечатать изображение нужного жеста и поднести к объективу - система принимает бумажку за живую руку. Никакого искусственного интеллекта, никакой сложной инфраструктуры. Просто принтер.
Второй способ ещё элегантнее. Специальные программы-эмуляторы позволяют подменить реальную камеру виртуальной и скормить ей любое изображение. Загрузил фото - капча пройдена. Причём весь процесс, по имеющимся данным, можно полностью автоматизировать: набор картинок с жестами плюс несколько скриптов на Python - и руки вообще не нужны.
Слежка или защита: что думают пользователи
Реакция сети оказалась предсказуемо враждебной. Большинство пользователей восприняли нововведение не как улучшение безопасности, а как очередной повод для корпоративной слежки. И поводы для подозрений есть.
Технология работает через облако: видеозапись с жестом уходит на серверы Google для обработки. Компания уверяет, что ролики удаляются сразу после проверки и никаких данных о пользователях не собирается. Верить этому сложно.
Не так давно стало известно, что Google без особых усилий восстановила видеозаписи, которые пользователи давно удалили с устройств экосистемы Nest. Камеры умного дома, оказывается, хранят куда больше, чем обещано в пользовательском соглашении. На фоне этого заявления об «автоматическом удалении» звучат неубедительно.
Риски веб-камеры: не только Google
Отдельная проблема - сам факт принудительного включения камеры. Часть пользователей намеренно выводит встроенные камеры из строя или заклеивает их: это не паранойя, а осознанная мера защиты. Удалённый несанкционированный доступ к веб-камере - задокументированная угроза.
Среди известных примеров - троян, поразивший устройства Apple на macOS ещё в 2016 году. Вредоносная программа давала хакерам полный контроль над Mac и MacBook, включая камеру, без каких-либо видимых следов активности.
Таким образом, новая капча Google создаёт сразу два неудобства:
- требует открыть доступ к камере - устройству, которое многие намеренно блокируют
- передаёт видеозапись в облако корпорации, чья репутация в вопросах хранения данных далека от безупречной
Что дальше
Провал камерной капчи ставит Google перед неудобным вопросом: в какую сторону двигаться дальше? Классические текстовые и графические проверки бот-трафик обходит всё легче - рынок решений для их взлома давно сформирован. Биометрический подход выглядел как шаг вперёд, но с треском провалился ещё на стадии тестирования.
Пока корпорация не представила обновлённую концепцию. Но очевидно одно: задача разделить живого пользователя и автоматизированный скрипт становится всё сложнее - и простыми решениями здесь уже не обойтись.