選自fastcompany
作者:KATHARINE SCHWAB
機器之心編譯
參與:韓放、張倩
reCaptcha 是谷歌的驗證系統,用於防止網頁被不法用戶惡意攻擊。由於被頻繁破解,目前谷歌已經將其升級到了第三代——reCaptcha v3。新版的 reCaptcha 通常不會彈出「我不是機器人」複選框讓用戶打鉤,似乎提升了用戶體驗。但天下沒有免費的午餐,有些事情可能是谷歌沒有告訴你的……
我們都曾試圖登錄一個網站或提交一份表格,結果卻被困在交通燈、店面或橋樑的點擊框中,不顧一切地試圖最終說服計算機我們不是真正的機器人。
多年來,這一直是 reCaptcha(谷歌運行的互聯網機器人檢測儀)確定用戶是否是機器人的主要方法之一。但去年秋天,谷歌推出了一個新版本的工具,目的是徹底消除這種惱人的用戶體驗。現在,當你在一個使用 recaptcha v3 的網站上輸入一個表單時,你不會看到「我不是機器人」複選框,也不需要證明你知道貓的樣子。相反,你什麼都看不見。
「這對用戶來說是更好的體驗。每個人都有無法通過驗證碼的時候,」谷歌的 reCaptcha 產品負責人 Cy Khormaee 說。相反,谷歌會分析用戶瀏覽網站的方式,並根據其行為的惡意程度為他們分配風險評分。Khormaee 沒有透露谷歌用來確定這些分數的依據,因為他說這將使騙子更容易模仿良性用戶,但他相信,新版的 reCaptcha 會給那些支付少量資金在網上破解驗證碼以欺騙谷歌系統的機器人或破解者們帶來難以置信的困難。
「你必須瞭解正常用戶在網站上的行為,並模仿得足夠好,才能騙過我們,」他說。「這不僅僅是『假裝我是人』那麼簡單。」網站管理員隨後可以獲取他們的訪問者的風險評分,並決定如何處理這些評分:例如,如果風險評分高的用戶試圖登錄,網站可以通過雙因素認證(two-factor authentication)設置規則要求他們輸入額外的驗證信息。如 Khormaee 所說,「最糟糕的情況是,我們給合法用戶帶來了一些不便,但如果使用者非法,我們會阻止用戶的帳戶被盜。」
據科技網站 Built With 統計,已有 65 萬多個網站使用 reCaptcha v3;總的來說,至少有 450 萬個網站使用 reCaptcha,包括前 10000 網站中的 25%。谷歌現在也在測試一個企業版的 reCaptcha v3,在這個版本中,谷歌為那些需要更加精確用戶風險水平數據的企業創建了一個自定義的 reCaptcha,以保護他們的網站算法不受惡意用戶和機器人程序的攻擊。
但是這個基於風險評分的新系統帶來了一個嚴重的權衡:用戶隱私。
據研究過 reCaptcha 的兩位安全研究人員介紹,谷歌判斷惡意用戶的方法之一就是你是否在你的瀏覽器上安裝了谷歌 cookie。cookie 允許你在瀏覽器中打開新的標籤,而不必每次都重新登錄到你的 Google 帳戶。但研究過 reCaptcha 的多倫多大學計算機科學博士研究生 Mohamed Akrout 說,谷歌似乎也在用它的 cookie 來確定 reCaptcha v3 測試中的人是否是人。Akrout 在 4 月份的一篇論文中寫到,在一個連接了谷歌賬戶的瀏覽器上運行的 reCaptcha v3 比沒有連接谷歌賬戶的瀏覽器獲得了更低的風險分數。他說:「如果你有一個谷歌賬戶,你更有可能是人類。」對於谷歌 cookie 在 reCaptcha 中所扮演的角色,谷歌沒有做出迴應。
Marcos Perona 和 Akrout 是兩名技術顧問,他們在瀏覽器上訪問使用 reCaptcha v3 的測試網站時發現,如果已經登錄到 Google 帳戶,他們的 reCaptcha 分數總是低風險的。然而,如果他們通過 Tor 或 VPN 等私人瀏覽器訪問測試網站,他們的分數是高風險的。
為了使這個風險評分系統準確工作,網站管理員應該在其網站的所有頁面上嵌入 reCaptcha v3 代碼,而不僅僅是在表單或登錄頁面上。然後,reCaptcha 會隨著時間的推移瞭解其網站用戶的典型行為,幫助其基礎的機器學習算法生成更準確的風險評分。因為 reCaptcha v3 很可能出現在網站的每一頁上,如果你登錄到你的 Google 帳戶,Google 就有可能獲得你訪問的每一個網頁的數據,這些網頁嵌入了 reCaptcha v3,而且在網站上,除了隱藏在角落裡的一個小的 reCaptcha 標誌外,很多都沒有任何視覺指示。
Khormaee 不會以任何方式說明 Google 使用數據進行 reCaptcha 的方式,而是在 Google 的服務條款中提及了 Fast Company,該條款在大多數網站的 reCaptcha 徽標下都有鏈接。但是,他們沒有在服務條款任何地方提到會進行 reCaptcha。在這篇文章發表後,谷歌表示,Recaptcha 的 API 將硬件和軟件信息(包括設備和應用程序數據)發送回谷歌進行分析,並且該服務僅用於抵制垃圾郵件和濫用。
Perona 認為,谷歌鼓勵網站管理員將 reCaptcha 放在他們的網站上,然後與這些管理員共享由此產生的風險評分,這對安全性很有好處,因為這「讓網站所有者更容易識別和控制潛在詐騙犯和機器人攻擊」。如果 reCaptcha 只使用來自單個網頁的數據來分析用戶行為,那麼系統會給管理員更準確的分數。但這是一種權衡。他說:「這很有意義,也讓它對用戶更加友好,但同時也給了谷歌更多的數據。」谷歌不會澄清它如何處理通過 reCaptcha 捕捉的用戶行為數據,只是說這些數據用於改進 reCaptcha 並提升安全性。
這種基於 cookie 的數據收集也發生在互聯網的其他地方。大公司利用它來評估他們的用戶在網上衝浪時的去向,然後利用這些信息進行更有針對性的廣告投放。例如,谷歌的 reCaptcha cookie 與 Facebook「like」按鈕的邏輯相同,當它嵌入其他網站時,它會給該網站一些社交媒體功能,但也會讓 Facebook 知道你在看什麼。此前,谷歌曾表示,從 reCaptcha 獲取的數據不用於廣告定位或分析用戶興趣和偏好。這篇文章發表後,谷歌表示,通過 reCaptcha 收集的信息不會被谷歌用於個性化廣告。
Perona 認為,谷歌使用 reCaptcha 是一種「在線圈地」的行為,加強了谷歌對互聯網的控制。他認為,reCaptcha 與其他谷歌產品(如加速移動頁面(AMP))相似,後者是一個使新聞網站頁面在移動設備上加載更快的程序,但對於谷歌是否會將網絡流量從新聞網站上帶走,媒體感到有些錯愕。谷歌 Chrome 也是如此,《華盛頓郵報》最近稱其稱之為「監視軟件」。
「這總是一把雙刃劍,」Perona 說。「你得到了一些東西,但是你也給了谷歌更多的在線控制權。」安全性和用戶體驗得到了提升,但隱私可能會受到影響。
谷歌沒有解決任何潛在的隱私問題,並堅持 reCaptcha v3 是一個企業責任問題。它將 reCaptcha v3 視為確保安全、流暢在線體驗的一種方式。「谷歌與互聯網的融合如此之深,」Khormaee 說。「我們想盡一切辦法保護它。」
原文鏈接:https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side