I bot stanno diventando troppo furbi, abbastanza da eludere i classici reCAPTCHA. Per questo motivo Google sta sperimentando un nuovo sistema, basato sul riconoscimento dei gesti della mano attraverso la webcam del computer e con il supporto di algoritmi di machine learning.
Come funziona il nuovo reCAPTCHA testato da Google
Come illustrato nella documentazione ufficiale di Google, il nuovo sistema di verifica utilizza i movimenti della mano dell’utente. Quando viene attivata questa modalità, reCAPTCHA richiede l’accesso alla webcam e invita l’utente a eseguire uno o più gesti, come ad esempio un semplice saluto con la mano.
Il sistema registra uno o più brevi video durante l’esecuzione dei movimenti e li analizza per stabilire se dietro la videocamera sia presente una persona reale oppure un sistema automatizzato. Dopo l’acquisizione del video entra in funzione il modello di machine learning sviluppato da Google. L’algoritmo estrae i cosiddetti “hand landmark data”, ovvero una serie di punti di riferimento della mano utilizzati per ricostruirne il movimento.
In particolare, il sistema analizza 21 coordinate corrispondenti alle articolazioni della mano per verificare la naturalezza dei gesti eseguiti durante la procedura di autenticazione. Se l’utente non riesce a completare il test oppure la verifica non va a buon fine, reCAPTCHA torna automaticamente ai tradizionali controlli visivi o audio già utilizzati da tempo.
C’è chi è già riuscito ad aggirarlo…
L’azienda precisa che i video acquisiti durante la verifica non vengono associati all’identità dell’utente. Google afferma inoltre che non viene registrato alcun audio e che i filmati vengono eliminati una volta completata la procedura di verifica.
Allo stesso tempo, però, la documentazione specifica che le informazioni raccolte vengono utilizzate e archiviate nel rispetto della Google Privacy Policy. Questa formulazione lascia alcuni dubbi sulla gestione effettiva dei dati, poiché non chiarisce completamente quali informazioni possano essere conservate e per quanto tempo.
Ma, come si suol dire, fatta la legge, trovato l’inganno. Secondo quanto riportato da Tom’s Hardware, alcuni tester sarebbero già riusciti ad aggirare il nuovo sistema di verifica, utilizzando un’immagina statica di una persona che saluta riprodotta attraverso una OBS Virtual Camera per ingannare il sistema. È pur vero che si tratta di una tecnologia ancora in sviluppo e che, nel prossimo futuro, potrebbe migliorare sotto questo punto di vista.
La sperimentazione arriva a poche settimane da un’altra modifica introdotta da Google nel sistema reCAPTCHA. L’azienda ha infatti iniziato a richiedere, sui dispositivi Android, che Google Play Services fosse aggiornato alla versione 25.41.30 o successiva. Un sistema incompatibile con sistemi operativi privi dei servizi Google, come GrapheneOS e altre distribuzioni Android.