Il sistema di verifica reCAPTCHA di Google, quello che milioni di siti usano per capire se davanti allo schermo c’è una persona vera o un software automatico, ha appena mostrato una crepa piuttosto imbarazzante. Il team di Mountain View stava sperimentando una soluzione che chiedeva agli utenti di mostrare dei gesti della mano davanti alla webcam, ma è bastato pochissimo perché qualcuno trovasse il modo di aggirarla.
L’idea, sulla carta, aveva un suo senso. Sul sito ufficiale del colosso è comparsa una pagina che spiega nel dettaglio come funziona questo nuovo metodo, pensato per distinguere gli esseri umani dalle intelligenze artificiali sfruttando la videocamera per analizzare i movimenti della mano di chi sta compilando un modulo o accedendo a un servizio.
Come funziona il reCAPTCHA con i gesti della mano
Quando la funzionalità viene attivata, reCAPTCHA registra uno o più video della mano dell’utente mentre esegue determinate azioni o gesti della mano. Google tiene a precisare che questi filmati non vengono associati all’identità della persona e che finiscono cancellati subito dopo la procedura di verifica. Nessuna registrazione audio, per intenderci.
Il video viene poi elaborato per estrarre i cosiddetti dati dei punti di riferimento della mano. Nel concreto, il sistema individua le coordinate di 21 punti, una specie di mappatura che dovrebbe bastare a capire se il movimento appartiene a una persona in carne e ossa.
Ovviamente serve il consenso per accedere alla videocamera, un permesso che chiunque può gestire dalle impostazioni del browser quando vuole. E Google mette le mani avanti sulla privacy, assicurando che i video vengono elaborati solo per la verifica di sicurezza, senza passaggi di dati o autorizzazioni verso terze parti.
Il metodo aggirato in pochi giorni
Qui arriva la parte curiosa. Questo nuovo sistema, ancora in fase di test limitato, è stato messo in difficoltà nel giro di pochissimo tempo. Alcuni tester hanno usato una semplice foto statica di una mano, dandola in pasto al controllo tramite la fotocamera virtuale OBS, e sono riusciti a superare la verifica.
Niente persona reale, niente video, nemmeno un pizzico di intelligenza artificiale. Solo un’immagine ferma, di quelle che si trovano ovunque. Il paradosso è evidente, visto che questa soluzione era stata presentata come il metodo migliore per separare gli umani dalle macchine.
Il problema è saltato fuori proprio mentre Google spingeva su questa strada. Basti pensare che una versione simile chiedeva addirittura di salutare la webcam per dimostrare di essere umani, un approccio che seguiva la stessa logica dei gesti della mano.