研究人员称谷歌reCAPTCHA验证机制很容易被机器人攻破

谷歌推出的 reCAPTCHA 验证机制被很多用户抱怨,诸如选择红绿灯、斑马线和自行车之类的操作看起来毫无意义,因为现在已经有诸多机器人可以克服该验证机制,只有真实用户才会被要求思考并选择图片。
YouTube 创作者 @CHUPPL 日前发布报告指责 reCAPTCHA v2/v3 都无法阻止机器人,而谷歌只会索要用户的互联网数据以换取网站访问权限。
事实上谷歌的这个验证机制也需要收集用户的各种信息,例如操作系统、设备型号、浏览器及版本、屏幕分辨率、IP 地址等等,从明面上说收集这些信息可以用来判断访问是否为真人,但显然收集的这些信息也可以被用于生成数字指纹从而跟踪用户。
谷歌开发 reCAPTCHA 的目的是帮助网站拦截恶意访问,理想状态下机器人无法通过 reCAPTCHA 验证因此会被阻止访问,但多项研究表明基于人工智能的机器人可以 100% 解决臭名昭著的红绿灯网格测试。
尽管在 reCAPTCHA v3 中用户只需要点击我不是机器人复选框而不是选择各种不同的图片,但加州大学欧文分校在 2023 年发布的研究表明机器人同样可以通过 v3 测试。
研究人员告诉 @CHUPPL 称,reCAPTCHA v3 不仅会收集用户的鼠标移动记录 (光标从其他位置移动到我不是机器人复选框用来判断是机器还是真人),还会收集用户的其他信息,这些信息可能被谷歌用于广告跟踪。
另外针对谷歌的 reCAPTCHA v2 输入用于训练人工智能的诉讼显示,用户在点击 v2 中的红绿灯网格所花费的 8.19 亿小时相当于 61 亿美元的未付工资。
目前已经有更多网站采用 Cloudflare 提供的验证机制,Cloudflare CAPTCHA 不需要选择图片而只是点击即可,至少 Cloudflare 承诺不会利用该机制收集用户信息用于广告跟踪。
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 东欧黑客向中美ISP发起攻击安装门罗币挖矿软件 超过4000 IP对应服务器被感染
- 悟空CRM为现代企业量身打造的开源功能强大CRM管理系统
- 微信小店助手APP上线:商家可在移动端管理店铺、查看数据
- 在看 | ChatGPT黑产出现
- 在看 | 国内多个高铁站列车大面积晚点
- 视频资讯|德国指控俄罗斯黑客对北约智库进行网络间谍攻击
- 在Z|德国电信咨询中国区(高至30K/月14薪)诚招ISA安全架构师、高级SOC安全分析师等贤才
- 物联网安全漏洞实战,全方位解析IoT安全!
- 诸子笔会 | 刘志诚:祛魅!数据安全认知实践再思考
- Linux设备沦为矿机,黑客暴力破解SSH
- Android 12 预览版发布,64G手机用户:我又活了
- 清华毕业生最爱去华为;应届生称因拒绝加班,被申通快递辞退;PrestoSQL被迫更名 | 极客头条