Капча Google провалилась. Камера не спасла
Капча Google провалилась. Камера не спасла

Google представила капчу нового поколения, которая включает веб-камеру пользователя и требует показать в объектив конкретный жест. Провалилась за считанные недели. Обойти защиту оказалось проще, чем пройти её честно.

Что придумали - и почему не сработало

Идея выглядела перспективно: вместо бесконечного поиска светофоров на мутных фотографиях - один жест перед камерой. Живой человек, живое движение. Казалось бы, такое не подделаешь. Подделали.

Выяснилось, что капчу разносит даже распечатанный на принтере лист бумаги. Достаточно заранее распечатать изображение нужного жеста и поднести к объективу - система принимает бумажку за живую руку. Никакого искусственного интеллекта, никакой сложной инфраструктуры. Просто принтер.

Второй способ ещё элегантнее. Специальные программы-эмуляторы позволяют подменить реальную камеру виртуальной и скормить ей любое изображение. Загрузил фото - капча пройдена. Причём весь процесс, по имеющимся данным, можно полностью автоматизировать: набор картинок с жестами плюс несколько скриптов на Python - и руки вообще не нужны.

Слежка или защита: что думают пользователи

Реакция сети оказалась предсказуемо враждебной. Большинство пользователей восприняли нововведение не как улучшение безопасности, а как очередной повод для корпоративной слежки. И поводы для подозрений есть.

Технология работает через облако: видеозапись с жестом уходит на серверы Google для обработки. Компания уверяет, что ролики удаляются сразу после проверки и никаких данных о пользователях не собирается. Верить этому сложно.

Не так давно стало известно, что Google без особых усилий восстановила видеозаписи, которые пользователи давно удалили с устройств экосистемы Nest. Камеры умного дома, оказывается, хранят куда больше, чем обещано в пользовательском соглашении. На фоне этого заявления об «автоматическом удалении» звучат неубедительно.

Риски веб-камеры: не только Google

Отдельная проблема - сам факт принудительного включения камеры. Часть пользователей намеренно выводит встроенные камеры из строя или заклеивает их: это не паранойя, а осознанная мера защиты. Удалённый несанкционированный доступ к веб-камере - задокументированная угроза.

Среди известных примеров - троян, поразивший устройства Apple на macOS ещё в 2016 году. Вредоносная программа давала хакерам полный контроль над Mac и MacBook, включая камеру, без каких-либо видимых следов активности.

Таким образом, новая капча Google создаёт сразу два неудобства:

  • требует открыть доступ к камере - устройству, которое многие намеренно блокируют
  • передаёт видеозапись в облако корпорации, чья репутация в вопросах хранения данных далека от безупречной

Что дальше

Провал камерной капчи ставит Google перед неудобным вопросом: в какую сторону двигаться дальше? Классические текстовые и графические проверки бот-трафик обходит всё легче - рынок решений для их взлома давно сформирован. Биометрический подход выглядел как шаг вперёд, но с треском провалился ещё на стадии тестирования.

Пока корпорация не представила обновлённую концепцию. Но очевидно одно: задача разделить живого пользователя и автоматизированный скрипт становится всё сложнее - и простыми решениями здесь уже не обойтись.