ADSENSE
|
Questo post é stato letto 60 volte!
Google cambia reCAPTCHA: smartphone approvati e qr
Google sta introducendo nuove verifiche reCAPTCHA che si basano sull’uso di codici QR e smartphone certificati.
Questa innovazione, volta a contrastare bot e attività fraudolente, ha suscitato polemiche, in particolare da parte di GrapheneOS, che teme l’esclusione di utenti che utilizzano sistemi Android privi dei servizi Google.
La questione solleva interrogativi importanti sull’accessibilità e la privacy nel panorama digitale.
L’evoluzione di recaptcha e la sfida dell’intelligenza artificiale
Per oltre due decenni, i CAPTCHA sono stati un baluardo contro spam e registrazioni automatiche.
Inizialmente, la loro efficacia si basava su semplici sfide visive, come il riconoscimento di lettere distorte o la selezione di immagini specifiche.
Tuttavia, l’avanzamento dei modelli di intelligenza artificiale ha reso queste verifiche sempre meno efficaci, con i bot che ora riescono a superare molte di esse.
Si stima che una parte significativa del traffico internet globale sia generata da bot, spesso alimentati da AI sofisticate.
Come funziona l’attestazione hardware di google
Per rispondere a questa minaccia, Google ha integrato nella sua piattaforma Cloud Fraud Defense nuove verifiche che richiedono la scansione di codici QR tramite dispositivi mobili compatibili.
L’azienda sostiene che l’utilizzo di uno smartphone fisico fornisce una prova più affidabile della presenza umana e rende meno convenienti le campagne automatizzate su larga scala.
Il meccanismo alla base di questa verifica è complesso: il dispositivo mobile comunica con l’infrastruttura Google e fornisce una “hardware attestation”, una verifica crittografica che attesta l’identità e l’integrità del dispositivo.
Su Android, questa procedura si affida ai Google Play Services e al sistema Play Integrity API, mentre su Apple si basa su funzionalità come App Attest.
Il sistema non si limita a verificare l’esistenza di uno smartphone, ma ne accerta anche l’affidabilità e la certificazione.
Critiche e implicazioni sulla privacy
La contestazione principale, avanzata da GrapheneOS e da numerosi sostenitori della privacy digitale, riguarda il fatto che l’accesso a una porzione significativa del web potrebbe dipendere dall’utilizzo di hardware e software approvati da Apple e Google.
GrapheneOS, una distribuzione Android open source focalizzata sulla sicurezza, denuncia che i nuovi controlli impediscono la verifica a dispositivi Android privi dei Google Play Services, sollevando preoccupazioni riguardo a una possibile esclusione tecnologica.
Il precedente di web environment integrity
Molti osservatori collegano questa vicenda alla proposta di Google del 2023, Web Environment Integrity, che prevedeva la possibilità per i siti web di verificare l’affidabilità dell’ambiente software dell’utente.
Questa proposta generò forti polemiche per il timore di una rete più chiusa e di dispositivi certificati.
Sebbene Google abbia formalmente abbandonato il progetto, l’approccio di Cloud Fraud Defense presenta alcune somiglianze.
Google, tuttavia, sottolinea che Cloud Fraud Defense è una piattaforma antifrode mirata a contrastare bot e automazioni avanzate.
Implicazioni per privacy e sicurezza
La discussione non riguarda solo la concorrenza, ma anche la privacy.
Quando la verifica avviene tramite un dispositivo certificato, il sistema raccoglie segnali tecnici aggiuntivi rispetto a una semplice sfida visiva.
Nonostante Google affermi di utilizzare procedure orientate alla protezione dei dati, rimangono interrogativi sulla quantità di metadati generati e sulla possibilità di creare identificatori persistenti nel tempo.
Inoltre, l’abitudine a scansionare QR code per operazioni apparentemente legittime potrebbe aumentare la superficie di attacco per future campagne di quishing, ovvero phishing basato su codici QR.
Il ruolo dei gestori dei siti web
Un aspetto cruciale è il ruolo dei gestori dei siti web.
Google fornisce la tecnologia, ma spetta agli amministratori decidere il livello di protezione da adottare.
Le regole di Cloud Fraud Defense consentono controlli differenziati in base al punteggio di rischio e al tipo di automazione rilevata.
Nulla impedisce a un sito di utilizzare soluzioni meno invasive, ma la vasta diffusione delle tecnologie Google rende ogni modifica a reCAPTCHA potenzialmente rilevante per un’enorme porzione del traffico web.
Questo post é stato letto 60 volte!