Google reCAPTCHA с жестами обойдена обычным статическим файлом
Разработчики из команды RTF Labs Studio обнаружили критическую уязвимость в новой системе защиты Google reCAPTCHA Hand Gesture Verification.
Новейшая биометрическая капча, заставляющая пользователей включать веб-камеру и показывать жесты (кулак, лайк и т.д.), полностью обходится трансляцией обычного статичного изображения.Несмотря на громкие заявления Google о продвинутом ИИ-трекинге анатомии рук и проверке «живости» пользователя (Liveness), антифрод-система оказалась неспособна отличить реальное потоковое видео от статичного кадра.Для успешного обхода защиты инженеры использовали простейший скрипт на Python:Виртуальная камера инициализируется через библиотеку pyvirtualcam.В поток отправляется обычная статичная картинка нужного жеста (в формате JPG или PNG), считанная через OpenCV.Кадр транслируется в бесконечном цикле с фиксированным FPS.При обращении капчи к камере, нейросеть Google сканирует абсолютно неподвижное изображение, распознает на нем жест и моментально выдает статус PASSED.
habr.com