O novo reCAPTCHA do Google tem um lado negro

A versão mais recente do detector de bots reCaptcha é invisível para os usuários e se espalhou para mais de 650.000 sites. É ótimo para segurança, mas não tão bom para sua privacidade.

O novo reCAPTCHA do Google tem um lado negro

Todos nós tentamos fazer login em um site ou enviar um formulário apenas para sermos presos clicando em caixas de semáforos, vitrines ou pontes em uma tentativa desesperada de finalmente convencer o computador de que não somos realmente um bot.



Por muitos anos, essa tem sido uma das formas predominantes de reCaptcha - o detector de bot da Internet executado pelo Google - determinar se um usuário é um bot ou não. Mas no outono passado, o Google lançou uma nova versão da ferramenta, com o objetivo de eliminar totalmente aquela experiência irritante do usuário. Agora, quando você insere um formulário em um site que está usando reCaptcha V3 , você não verá a caixa de seleção Não sou um robô, nem terá que provar que sabe como é a aparência de um gato. Em vez disso, você não verá absolutamente nada.

[Imagem: cortesia do Google]



por que siri diz que 2020 está terminando

É uma experiência melhor para os usuários. Todo mundo falhou em um Captcha, diz Cy Khormaee, o líder do produto reCaptcha no Google. Em vez disso, o Google analisa a maneira como os usuários navegam em um site e atribui a eles uma pontuação de risco com base em quão malicioso é seu comportamento. Khormaee não compartilha quais sinais o Google usa para determinar essas pontuações porque ele diz que tornaria mais fácil para os golpistas imitarem usuários benignos, mas ele acredita que esta nova versão do reCaptcha torna incrivelmente difícil para bots ou fazendeiros de Captcha - humanos que são pagou pequenas quantias para quebrar Captchas online - para enganar o sistema do Google.



Uma versão antiga do reCaptcha. [Imagem: cortesia do Google]

Você tem que entender qual deve ser o comportamento no site e imitá-lo bem o suficiente para nos enganar, diz ele. Esse é um problema realmente difícil em comparação com o problema geral de ‘Finja que sou um humano & apos; Os administradores do site, então, obtêm acesso às pontuações de risco de seus visitantes e podem decidir como lidar com eles: por exemplo, se um usuário com uma pontuação de alto risco tentar fazer login, o site pode definir regras para solicitar que eles insiram informações de verificação adicionais por meio de dois autenticação de fator. Como disse Khormaee, o pior caso é que temos um pequeno inconveniente para usuários legítimos, mas se houver um adversário, evitamos que sua conta seja roubada.

De acordo com o site de estatísticas de tecnologia Built With, mais de 650.000 sites já estão usando o reCaptcha v3; no geral, há pelo menos 4,5 milhões de sites usam reCaptcha , incluindo 25% dos 10.000 principais sites. O Google também está testando uma versão empresarial do reCaptcha v3, onde o Google cria um reCaptcha personalizado para empresas que buscam dados mais granulares sobre os níveis de risco dos usuários para proteger os algoritmos de seus sites de usuários mal-intencionados e bots.



Mas este novo sistema baseado em pontuação de risco vem com uma desvantagem séria: a privacidade dos usuários.

De acordo com dois pesquisadores de segurança que estudaram o reCaptcha, uma das maneiras que o Google determina se você é um usuário malicioso ou não é se você já tem um cookie do Google instalado em seu navegador. É o mesmo cookie que permite que você abra novas guias em seu navegador e não tenha que fazer login novamente em sua conta do Google todas as vezes. Mas de acordo com Mohamed Akrout , um estudante de doutorado em ciência da computação da Universidade de Toronto que estudou o reCaptcha, parece que o Google também está usando seus cookies para determinar se alguém é humano nos testes do reCaptcha v3. Akrout escreveu em um jornal de abril sobre como as simulações do reCaptcha v3 executadas em um navegador com uma conta do Google conectada receberam pontuações de risco mais baixas do que os navegadores sem uma conta do Google conectada. Se você tem uma conta do Google, é mais provável que seja humano, diz ele. O Google não respondeu a perguntas sobre o papel que os cookies do Google desempenham no reCaptcha.

Com o reCaptcha v3, o consultor de tecnologia Marcos Perona e os testes de Akrout descobriram que suas pontuações no reCaptcha eram sempre de baixo risco quando eles visitavam um site de teste em um navegador onde já estavam logados em uma conta do Google. Como alternativa, se eles acessassem o site de teste de um navegador privado como Tor ou VPN, suas pontuações seriam de alto risco.



[Imagem: cortesia do Google]

Para fazer com que este sistema de pontuação de risco funcione com precisão, os administradores do site devem incorporar o código reCaptcha v3 em tudo das páginas de seu site, não apenas em formulários ou páginas de login. Em seguida, o reCaptcha aprende ao longo do tempo como os usuários de seu site normalmente agem, ajudando o algoritmo de aprendizado de máquina subjacente a gerar pontuações de risco mais precisas. Como o reCaptcha v3 provavelmente estará em todas as páginas de um site, se você estiver conectado à sua conta do Google, é possível que o Google esteja obtendo dados sobre cada página da web que você acessa e que está incorporada ao reCaptcha v3 - e muitos não podem ser visuais indicação no site de que está acontecendo, além de um pequeno logotipo do reCaptcha escondido no canto.

Khormaee não abordou a forma como o Google usa dados para reCaptcha de forma alguma e, em vez disso, referiu Fast Company aos termos de serviço do Google, que estão vinculados abaixo do logotipo reCaptcha na maioria dos sites. No entanto, não houve referência ao reCaptcha em qualquer lugar nos termos de serviço. Depois que esta história foi publicada, o Google entrou em contato para dizer que a API do reCaptcha envia informações de hardware e software, incluindo dados de dispositivos e aplicativos, de volta ao Google para análise e que o serviço é usado apenas para combater spam e abusos.

O Google encoraja os administradores de sites a colocarem reCaptcha em todos os seus sites e, em seguida, compartilhar as pontuações de risco resultantes com esses administradores é ótimo para a segurança, pensa Perona, porque ele diz que dá aos proprietários de sites mais controle e visibilidade sobre o que está acontecendo com possíveis golpistas e bots ataques, e o sistema dará aos administradores pontuações mais precisas do que se o reCaptcha estivesse usando apenas dados de uma única página da web para analisar o comportamento do usuário. Mas há uma compensação. Faz sentido e torna-o mais amigável, mas também fornece ao Google mais dados, diz ele. O Google não esclarece o que faz com os dados que captura sobre o comportamento do usuário por meio do reCaptcha, apenas que é usado para melhorar o reCaptcha e para fins gerais de segurança.

Esse tipo de coleta de dados baseada em cookies ocorre em outros lugares na Internet. Empresas gigantes o utilizam como uma forma de avaliar para onde vão seus usuários quando navegam na web, o que pode então ser vinculado ao fornecimento de publicidade mais direcionada. Por exemplo, o cookie reCaptcha do Google segue a mesma lógica do botão curtir do Facebook quando é incorporado em outros sites - dá ao site alguma funcionalidade de mídia social, mas também permite ao Facebook saber que você está lá . Anteriormente, Google disse que os dados capturados do reCaptcha não são usados ​​para segmentação de anúncios ou análise de interesses e preferências do usuário. Depois que essa história foi publicada, o Google disse que as informações coletadas por meio do reCaptcha não serão usadas para publicidade personalizada pelo Google.

Perona vê o uso do reCaptcha pelo Google como uma grilagem on-line que fortalece o controle do Google sobre a Internet. Ele acha que o reCaptcha é semelhante a outros produtos do Google, como Accelerated Mobile Pages (AMP), um programa para fazer com que as páginas de sites de notícias carreguem mais rápido em dispositivos móveis, mas tem causado alguns consternação dos editores sobre se o Google está tirando o tráfego da web dos sites de notícias. O mesmo vale para o Google Chrome, que Washington Post recentemente chamado de software de vigilância (Estou entre aqueles que abandonaram o Chrome para o Firefox).

É sempre uma faca de dois gumes, diz Perona. Você ganha algo, mas também dá ao Google um pouco mais de controle sobre tudo online. O ganho é a segurança e uma melhor experiência do usuário, mas a privacidade pode ser prejudicada.

O Google não abordou nenhum problema potencial de privacidade e insistiu que o reCaptcha v3 é uma questão de responsabilidade corporativa. Ele vê o reCaptcha v3 como uma forma de garantir uma experiência online segura e sem atrito. O Google está profundamente integrado à Internet, diz Khormaee. Queremos fazer tudo o que pudermos para protegê-lo.

como lidar com um psicopata