Teknolojigo
Bilgisayar & Donanım

Google'ın Yeni reCAPTCHA Sistemi Çöktü: El Taraması Stok Fotoğrafla Geçildi

Google'ın botları engellemek için geliştirdiği kamera tabanlı el tarama sistemi, basit bir stok fotoğraf ve sanal kamerayla kolayca atlatıldı.

HEHaber Editörü
· 1 dk1 okunma
Google'ın Yeni reCAPTCHA Sistemi Çöktü: El Taraması Stok Fotoğrafla Geçildi
Google'ın Yeni reCAPTCHA Sistemi Çöktü: El Taraması Stok Fotoğrafla Geçildi

Google, kullanıcıların gerçek bir insan olduğunu kanıtlamak için web kamalarını kullanarak el sallamasını veya avuç içini göstermesini isteyen tartışmalı bir reCAPTCHA yöntemini test etmeye başladı. Google Cloud Fraud Defense kapsamında sunulan ve eldeki 21 farklı koordinatı haritalayarak doğrulama yapan sistem, yayına girdiği kısa süre içinde güvenlik açıklarıyla karşılaştı.

Sanal Kamera ve Stok Fotoğraf ile Bypass Edildi

Sistemin çalışma prensibi, kullanıcının kısa bir video kaydıyla el hareketlerini analiz etmek ve MediaPipe el izleme araçlarını kullanarak kimlik doğrulaması yapmak üzerine kurulu. Ancak test kullanıcıları, OBS Virtual Camera yazılımı aracılığıyla sisteme gerçek bir video yerine sabit bir el stok fotoğrafı göndererek doğrulamayı başarıyla tamamladı. Herhangi bir yapay zeka veya karmaşık yazılım gerektirmeyen bu yöntem, sistemin şu anki haliyle gerçek saldırganlar için düşük bir direnç gösterdiğini kanıtladı.

Gizlilik Tartışmaları ve Biyometrik Veri Endişesi

Google'ın resmi belgelerinde, doğrulama tamamlandıktan sonra görüntülerin silindiği, ses kaydı alınmadığı ve verilerin kullanıcı kimliğiyle eşleştirilmediği belirtiliyor. Buna rağmen, toplanan verilerin Google Gizlilik Politikası kapsamında saklanacağı ibaresi, biyometrik verilerin nasıl işlendiği konusunda soru işaretleri yaratmaya devam ediyor. El hareketini gerçekleştiremeyen kullanıcılar için mevcut görsel ve işitsel bulmacalar alternatif olarak sunulmaya devam ediyor.

Sektörde Yeni Arayış: PACT Protokolü

Bot trafiğinin küresel HTTP isteklerinin yaklaşık %58'ini oluşturduğu bir dönemde, geleneksel CAPTCHA yöntemleri yetersiz kalmaya başladı. Bu durum üzerine Google, Cloudflare, Mozilla ve Microsoft; CAPTCHA'ların yerini alacak, gizliliği koruyan ve kriptografik temelli bir çözüm olan Private Access Control Tokens (PACT) protokolünü ortaklaşa önerdi. Bu yeni yaklaşım, kullanıcıyı yoran görsel testler yerine, isteğin meşru bir istemciden geldiğini kanıtlayan daha güvenli bir yapı hedefliyor.