Google начала тестирование новой версии reCAPTCHAi, требующей от пользователей подтверждения личности через веб-камеру. Система анализирует жесты рук, чтобы отличить человека от бота.
Однако исследователи безопасности оперативно обнаружили уязвимость в защите. Метод проверки оказался недостаточно надежным, так как его удалось обойти с помощью трансляции статических изображений.
21количество контрольных точек анализа
- Новая система reCAPTCHA анализирует движения кисти и мимику пользователя по 21 контрольной точке.
- Разработчики утверждают, что видеозапись с камеры удаляется сразу после завершения процесса верификации.
- Обход защиты был продемонстрирован с использованием программы OBSi, через которую в виртуальную камеру транслировалось стоковое фото человека с поднятой рукой.
- Специалисты по безопасности предупреждают, что автоматизация подобного обхода для ботнетов не требует сложных технических решений.
Ожидается, что Google предстоит доработать алгоритмы проверки, чтобы исключить возможность подмены видеопотока виртуальными камерами.