24 Июля 2024 16:09 24 Июл 2024 16:09 |

Поделиться

Доказано: тесты CAPTCHA бесполезны. Они не защищают от ботов, зато отнимают у людей время, эквивалентное миллиардам долларов

Сервис, который не работает

Исследователи из Калифорнийского университета в Ирвайне выяснили, что сервис защиты об ботов reCAPTCHA v2, созданный Google, не только не работает, но еще и вредит мировой экономике, пишет The Register. В отличие от reCAPTCHA первой версии, где людям требуется искать на картинках гидранты, лодки, автобусы и автомобили, reCAPTCHA v2 предлагает просто нажать на чекбокс и поставить в нем галочку. Казалось бы, просто действие, не требующее много времени, но, согласно отчету исследователей, люди потратили на reCAPTCHA v2 819 млн часов своего времени, в том числе и рабочего, за все время существования этого теста, что соответствует не менее $6,1 млрд в виде заработной платы, по подсчетам авторов исследования.

Ученые утверждают, что reCAPTCHA v2 собирает информацию, одновременно расходуя время людей стоимостью в миллиарды долларов. Также они утверждают, что сервис не выполняет свою единственную функцию – не защищает от ботов.

Но нельзя не отметить, что reCAPTCHA v2 – не самая современная версия этой защиты. CNews писал, что в 2018 г. вышла версия v3, которая работает в фоновом режиме и не требует никаких действий от пользователя.

История теста началась в 1997 г., когда он назывался просто CAPTCHA и предлагал пользователям написать текст, который они видят на изображении. В 2007 г. вышла версия reCAPTCHA, а через два года ее купил Google. reCAPTCHA v2 вышла в 2014 г., а спустя четыре года появилась reCAPTCHA v3 и одновременно была прекращена поддержка оригинальной reCAPTCHA.

Но даже несмотря на то, что reCAPTCHA v3 уже шесть лет, тест reCAPTCHA v2 по-прежнему широко распространен в интернете. По подсчетам The Register, он используется на 3 млн веб-сайтов по всему миру.

Искусственный интеллект все испортил

На начальных этапах CAPTCHA и его производные очень хорошо справлялись с отсевом ботов, но в современных реалиях со своей работой они уже не справляются. Как пишет The Register, этому способствует развитие и повсеместное внедрение искусственного интеллекта – вооруженные им боты могут отвечать на вопросы CAPTCHA почти так же хорошо, как люди.

Авторы исследования под названием «Ошеломленный и растерянный: крупномасштабное исследование reCAPTCHAv2 на реальных пользователях» (Dazed & Confused: A Large-Scale Real-World User Study of reCAPTCHAv2) утверждают, что от всех видов этого сервиса следует поскорее отказаться, притом по целому списку причин. Помимо неспособности противостоять искусственному интеллекту все виды CAPTCHA не нравятся пользователям. К тому же, по их словам, эти тесты требуют больших затрат времени и ресурсов центра обработки данных.

Не функционировать и следить за всеми

Исследователи отдельно отметили, что с помощью CAPTCHA Google следит за пользователями. «Я считаю, что истинная цель reCAPTCHA – в сборе информации и труда пользователей с веб-сайтов, – заявил The Register Эндрю Сирлз (Andrew Searles), недавно получивший докторскую степень и являющийся ведущим автором исследования. – Если вы верите, что reCAPTCHA защищает ваш сайт, вас обманули. Кроме того, это ложное чувство безопасности сопряжено с огромными затратами человеческого времени и конфиденциальности».

В отчете ученых отмечается, что еще в 2016 г. исследователям удалось обойти головоломки с изображениями reCAPTCHA v2 в 70% случаев. Задача с флажком reCAPTCHA v2 еще более уязвима - исследователи утверждают, что ее можно обойти в 100% случаев.

У reCAPTCHA v3 дела обстоят не лучше. В 2019 г. исследователи разработали алгоритм, который позволяет преодолеть этот тест в 97% случаев.

«Версия 3 лучше, чем v2, поскольку она чисто поведенческая, – сказал The Register соавтор исследования Джин Цудик (Gene Tsudik), профессор компьютерных наук в Калифорнийском университете в Ирвайне. – Но, как и v2, это не настоящая CAPTCHA – то есть она не «публичная» и не тест Тьюринга. Это метод, основанный на поведенческой аналитике, который присваивает баллы поведению пользователя. Таким образом, это вмешательство в конфиденциальность, поскольку мы (общественность) не знаем, как это работает. По сути, это "черный ящик"».

«Эти системы были побеждены еще до того, как их внедрили в глобальном масштабе», – добавил Эндрю Сирлз. – Проблемы выбора изображений были решены компьютерами в 2009 г. (но добавлены Google в 2014 г.). Сторонние файлы cookie reCATPCHA для поведенческого обнаружения ввели уязвимость "кликджекинга" , что упростило их автоматический обход».

Наглядное доказательство

Предоставленная авторами статьи информация основана на исследовании пользователей, которое проводилось в течение 13 месяцев в 2022 и 2023 гг. Было зафиксировано около 9141 сеанса reCAPTCHAv2 у невольных участников и проанализировано совместно с опросом, в котором приняли участие 108 человек.

Респонденты дали головоломке с флажками reCAPTCHA v2 оценку 78,51 из 100 по шкале удобства использования системы, в то время как головоломка с изображением (v1) получила оценку всего 58,90. «Результаты показывают, что 40% участников посчитали версию с изображением (v1 – прим. CNews) раздражающей (или очень раздражающей), в то время как меньше 10% посчитали таковой версию с флажком (v2 – прим. CNews)», – говорится в исследовании.

Кто заплатит за все

В совокупности взаимодействие с reCAPTCHA влечет за собой значительные затраты, часть которых фиксирует Google, пишет The Register. «С точки зрения затрат мы оцениваем, что за 13 лет использования reCAPTCHA на нее было потрачено 819 млн часов человеческого времени, что соответствует не менее $6,1 млрд в виде заработной платы», – утверждают авторы в своей статье. Это примерно $7,5 в час, что примерно соответствует минимальной ставке оплаты труда в США.

«Трафик, полученный в результате reCAPTCHA, потребил 134 петабайта пропускной способности, что эквивалентно примерно 7,5 млн кВтч энергии, что соответствует 7,5 млн фунтов CO2. Кроме того, Google потенциально получил прибыль в размере $888 млрд от файлов cookie (созданных в ходе сеансов reCAPTCHA – прим. CNews) и $8,75–32,3 млрд за каждую продажу своего общего набора маркированных данных».

На вопрос о том, являются ли затраты, которые Google перекладывает на пользователей reCAPTCHA в виде времени и усилий, необоснованными или эксплуататорскими, Сирлз указал на оригинальный документ по CAPTCHA, написанный Луисом фон Ан (Luis von Ahn), Мануэлем Блюмом (Manuel Blum)и Джоном Лэнгфордом (John Langford ), в котором есть раздел под названием «Кража циклов у людей» (Stealing cycles from humans).

«Этот раздел, в целом, обобщает, как CAPTCHA создает эксплуататорскую экономику функций, где коварные боты могут призывать людей выполнять для них задания, – сказал Сирлз. – Неразумно заставлять кого-то решать задачу безопасности, когда нет никакой защищенности».

Сирлз утверждает, что расходы должен нести Google, а не пользователи веб-сайта. «Если сервис заявляет, что обнаруживает ботов, то он должен их обнаруживать, особенно если это платный сервис», – заявил он.

«Можно сделать вывод, что истинная цель reCAPTCHA v2 – бесплатная маркировка изображений и отслеживание cookie для рекламы и получения прибыли от данных, маскирующаяся под службу безопасности», – говорится в статье.

Представители Google не ответили на вопросы издания.

Геннадий Ефремов

Поделиться

Подписаться на новости Короткая ссылка