Компанія Google розпочала тестування нового варіанту системи перевірки особистості reCAPTCHA, яка кардинально відрізняється від традиційних методів. Замість розпізнавання дорожних знаків чи інших предметів на зображеннях, новий підхід вимагає від користувачів виконати певні рухи тілом перед веб-камерою. Однак перші тести, проведені незалежними експертами, виявили серйозні недоліки в роботі алгоритму, що призвело до значного суспільного резонансу.
Як працює новітня система верифікації на основі рухів рук
Компанія Google розробила інноваційний спосіб підтвердження того, що користувач є реальною людиною, використовуючи розпізнавання фізичних рухів тіла. Замість введення тексту або вибору зображень, система просить виконати конкретні дії перед камерою.
Коли активується такий тип верифікації, веб-браузер запитує дозвіл на використання вбудованої камери пристрою - комп'ютера або мобільного телефону - і пропонує користувачу виконати визначений рух. Це може бути помахування рукою, піднесення долоні до камери або інший жест, який алгоритм має розпізнати.
Механізм функціонування цієї захисної технології спирається на наступну послідовність операцій:
- Камера пристрою записує коротке відеоповідомлення, що фіксує рухи рук та пальців користувача.
- Алгоритм штучного інтелекту аналізує записане відео та витягує 21 характерну координату суглобів і кінцівок.
- На основі цих координатних даних система генерує висновок про те, чи перебуває перед монітором реальна людина.
Представники Google наголошують, що записане відеоматеріал миттєво знищується після завершення процесу верифікації та не зберігається у жодних серверах компанії.
Попри засвідчення компанії щодо конфіденційності, сама концепція збирання та обробки біометричних характеристик спровокувала значну хвилю незадоволення та тривоги серед широкого кола інтернет-користувачів. Багато людей відмовляються надавати доступ до своєї біометрії задля звичайного входу на звичайні веб-портали.
Виявлені вразливості та методи їх обходу
Найбільш критична проблема цієї інноваційної системи полягає у невміння розпізнавального алгоритму відрізнити справжній живий рух від статичного зображення, отриманого з зовнішнього джерела.
Один з користувачів інтернету вирішив практично перевірити стійкість захисного механізму. Він використав звичайне якісне фото руки з безкоштовного веб-сервісу для зберігання стокових зображень та передав його у вигляді трансляції за допомогою спеціалізованої утиліти для віртуалізації камери під назвою OBS Virtual Camera. Виявилося, що система помилково ідентифікувала нерухоме зображення як успішно виконаний людський жест.
Експеримент повторювався багато разів з використанням різноманітних стокових знімків. При точному налаштуванні масштабування та позиціонування зображення всередині утиліти OBS, алгоритм Google послідовно розпізнавав статичну картину як автентичний динамічний рух пальців та кисті руки.
Масштаб і серйозність виявленої уразливості
Обхід цього захисного механізму не вимагає від зловмисників розробки складних анімацій за допомогою технологій штучного інтелекту або створення дорогих відеоматеріалів.
Весь процес обходу цієї системи верифікації можна без труднощів повністю автоматизувати за кілька хвилин, скориставшись простим програмним скриптом, написаним однією з популярних мов програмування, наприклад Python.
Таким чином, новітня технологія виявляється неспроможною захиститися навіть перед найпростішими автоматизованими програмами, не кажучи про складніші системи автоматизації та ботів.
Наразі ця нова версія reCAPTCHA знаходиться на самих ранніх етапах апробування та тестування. Користувальницька спільнота вирішує, що компанія Google мусить терміново оновити та вдосконалити свої розпізнавальні алгоритми, щоб система навчилася відхиляти статичні та нерухомі картинки, а також визначати справжні живі рухи в режимі реального часу.
Цей випадок демонструє важливість ретельного тестування систем безпеки перед їхнім широким впровадженням. Компанії, які розробляють захисні механізми, мають враховувати потенційні способи їхнього обходу та создавати більш стійкі та надійні алгоритми верифікації для захисту своїх користувачів від несанкціонованого доступу та зловмисних атак.