Ферма файлов cookie для отслеживания ради прибыли: отчет утверждает, что reCAPTCHA заставила людей потратить 819 миллионов часов впустую, а Google заработала миллиарды.

Исследование утверждает, что тесты reCAPTCHA не особенно эффективны для блокировки угроз безопасности. Эти тесты также обходятся пользователям в миллионы часов потерянного времени. Новые "невидимые вызовы" могут стать альтернативой для бизнеса.

Едва ли найдется интернет-пользователь, который не сталкивался бы с CAPTCHA или «Completely Automated Public Turing test to tell Computers and Humans Apart» — общепринятыми тестами, которые дают доступ к веб-сайтам. Обычно это требует от пользователей выбрать изображение с определенными объектами, например светофором. Оказывается, что этот слегка неудобный элемент защиты фактически неэффективен для предотвращения трафика ботов.

Исследование под названием «Dazed and Confused: A Large-Scale Real-World User Study of reCAPTCHAv2» выявило, что тесты потратили миллионы часов времени пользователей. Тем не менее, они также сгенерировали оценочные данные отслеживания cookie на сумму 888 млрд долларов для Google.

Тесты практически неприступны и так распространены, что пользователи провели примерно 819 миллион часов на их решение, хотя каждое тестирование занимает в среднем всего 3.53 секунды у исследователей. Боты всё чаще справляются с CAPTCHA, и тесты могут стать устаревшими.

Анализ отмечает две основные разновидности проверок: CAPTCHA и reCAPTCHA. Первая — это текстовые вызовы, где пользователи расшифровывают зашифрованные символы, а вторая представляет собой более продвинутый подход на основе изображений с использованием фотографий Google Street View.

После приобретения reCAPTCHA в 2009 году Google использовал технологию для улучшения Google Street View и цифровизации Google Books. Однако CAPTCHA больше не выполняют свои функции. Новые инструменты искусственного интеллекта позволяют ботам решать тесты CAPTCHA, что делает их практически устаревшими.

К 2010 году появились автоматизированные службы, способные решать задачи с метками изображений с точностью в 100%, что означает недостаточную эффективность reCAPTCHA как средства безопасности. Исследование показывает, что reCAPTCHA «широко мониторит» куки пользователей, историю браузера и окружение браузера — все это может использоваться для отслеживания пользователей и рекламы.

Исследователи заметили фальшивые страницы CAPTCHA, которые используются для распространения вредоносного ПО, что представляет серьезную угрозу для неподготовленных серферов. Это подтверждается тем, что «reCAPTCHAv2 checkbox представляет собой полное уязвимость, прикидывающуюся средством безопасности».

Кроме того, CAPTCHA используют энергию — 7,5 миллионов киловатт-часов или 7,5 миллионов фунтов CO2. Это приводит нас к «истинной цели» тестов CAPTCHA: они могут приносить огромную прибыль для Google.

Альтернатива — невидимые вызовы

Для бизнеса важно проверять, являются ли пользователи людьми или ботами, чтобы защититься от атак DDoS, сборщиков данных и прочих угроз. Если CAPTCHA не эффективны (и очень раздражают пользователей), то какие есть альтернативы?

Для бизнеса существуют невидимые вызовы — они могут стать альтернативой для традиционных CAPTCHA. Невидимые вызовы не означают конца для CAPTCHA, но они могут сочетаться с ними для обеспечения более плавного опыта пользователей и усиленной защиты веб-сайтов бизнеса.