Демонстрация обхода reCAPTCHA жестами рукой на компьютере

Google начала тестировать новый формат reCAPTCHA с проверкой жестами рукой в середине июня, а через несколько недель пользователи показали способ обхода этой защиты обычной фотографией. Система Hand Gesture Verification просит включить камеру и повторить жест с картинки, например поднять ладонь или помахать рукой. Предполагалось, что такой сценарий усложнит жизнь ботам, которые уже научились проходить классические капчи с текстом и изображениями.

Схему обхода опубликовал пользователь X. Он подал в форму не изображение с веб-камеры, а стоковую фотографию человека с поднятой рукой через OBS Virtual Camera, которая позволяет подменять видеосигнал любой картинкой или роликом. Со второй попытки reCAPTCHA пропустила его на сайт.

Журналист Neowin повторил эксперимент и получил тот же результат. По его словам, сработало не сразу: понадобилось несколько снимков и несколько попыток, а изображение пришлось двигать внутри кадра. Тем не менее система в итоге приняла статичную фотографию за живое действие.

Google описывает новый механизм как более удобную альтернативу привычным заданиям с выбором светофоров, витрин или мотоциклов. Компания утверждает, что короткое видео анализирует ИИ, а запись не сохраняется и удаляется сразу после проверки. Для сайтов это выглядит как попытка вернуть reCAPTCHA точность в условиях, когда генеративные модели и сервисы распознавания всё лучше справляются с визуальными тестами.

Проблема для Google не новая. Ещё в 2023 году исследователи и разработчики показывали, что большие языковые модели и связки с системами компьютерного зрения решают часть CAPTCHA-задач на уровне, достаточном для практического обхода. На этом фоне рынок сдвинулся в сторону менее заметных проверок: Cloudflare продвигает Turnstile без явных заданий для пользователя, а hCaptcha делает ставку на поведенческие сигналы и коммерческую защиту от автоматизации.

Для Google история неприятна ещё и потому, что reCAPTCHA давно стала инфраструктурным инструментом за пределами собственных сервисов компании. Версия v3, представленная в 2018 году, вообще отказалась от видимых тестов в пользу скоринга риска в фоне. Новый эксперимент с жестами, судя по первым тестам, возвращает в процесс человека и камеру, но не гарантирует, что перед системой действительно живой пользователь, а не удачно подобранная картинка.

Если Hand Gesture Verification дойдёт до широкого запуска, Google, вероятно, придётся добавлять проверки на глубину кадра, микродвижения или признаки подмены видеопотока. Иначе у сайтов появится ещё одна капча, которую можно пройти набором стоковых фото и OBS, а не человеком перед камерой.

Источник: Kod
Марта Баринова
Редактор новостного отдела, специализирующийся на аналитике программного обеспечения, стриминговых сервисов и изменениях в политике глобальных технологических платформ. В своих материалах Марта подробно освещает обновления Windows, функциональные изменения в Spotify и Google, а также исследует вопросы антимонопольного регулирования магазинов приложений. Автор более 140 публикаций, помогающих пользователям ориентироваться в быстро меняющемся ландшафте цифровых сервисов.

    Leave a reply