Google bewirbt reCAPTCHA als Sicherheitsmechanismus für Websites, aber Forscher der UC Irvine behaupten, dass der Dienst Informationen sammelt und dabei Milliarden von Dollar an menschlicher Arbeit verschlingt.

CAPTCHA steht für „Completely Automated Public Turing Test to Distinguish Computers from Humans“ und bedeutet, wie bei Google, Alles klarDieser Begriff bezieht sich auf ein Challenge-and-Response-Authentifizierungsschema, das Menschen vor ein Rätsel oder eine Frage stellt, die ein Computer nicht lösen kann.

Solche Tests werden seit fast zwei Jahrzehnten zur Bekämpfung von Betrug und anderen Formen des automatisierten Online-Missbrauchs eingesetzt. CAPTCHA-Rätsel – die Text, Bilder, Töne oder Verhaltensaufforderungen wie das Klicken auf Kontrollkästchen beinhalten können – sind online weit verbreitet.

Google hat übernommen reCaptcha Service In 2009Zwei Jahre nach seinem Debüt.

Seitdem hat der Suchriese den Dienst überarbeitet – reCAPTCHA v2 kam 2014 und reCAPTCHA v3 im Jahr 2018, kurz nachdem v1 eingestellt wurde. Obwohl v3 die neueste Version ist, wird sie von v2 immer noch verwendet Fast drei Millionen Websites.

Der Nutzen von reCAPTCHA-Herausforderungen scheint in einer Zeit, in der KI-Modelle CAPTCHA-Fragen fast genauso gut beantworten können wie Menschen, dramatisch zurückgegangen zu sein.

Zeig mir das Geld

Wissenschaftler der University of California, Irvine fordern, dass CAPTCHA-Codes abgeschafft werden sollten.

In Papier [PDF] In einer aktuellen Studie mit dem Titel „Dazed and Confused: A Large-Scale Study of Real-World ReCAPTCHAv2 Users“ argumentieren die Autoren Andrew Searles, Renaissance Taravdir Prapti und Jane Tsudek, dass der Dienst aufgegeben werden sollte, weil die Benutzer ihn nicht mögen ist zeit- und ressourcenintensiv und anfällig für Bots – im Gegensatz zu seinem beabsichtigten Zweck.

„Ich glaube, dass der eigentliche Zweck von reCAPTCHA darin besteht, Benutzer- und Arbeitsinformationen von Websites zu sammeln“, bestätigte Andrew Searles, der gerade seine Doktorarbeit abgeschlossen hatte und Hauptautor des Artikels war, in einer E-Mail an Aufzeichnen.

„Wenn Sie glauben, dass reCAPTCHA Ihre Website schützt, sind Sie betrogen worden. Darüber hinaus geht dieses falsche Sicherheitsgefühl mit enormen Kosten für die Zeit und Privatsphäre der Menschen einher.“

In dem im November 2023 veröffentlichten Papier wird darauf hingewiesen, dass Forscher bereits im Jahr 2016 in der Lage waren, die Herausforderungen von reCAPTCHA v2-Bildern zu meistern. 70 Prozent der ZeitDie Checkbox-Herausforderung von reCAPTCHA v2 ist sogar noch anfälliger – Forscher behaupten, dass sie in 100 Prozent der Fälle gemeistert werden kann.

reCAPTCHA v3 schnitt nicht besser ab. Im Jahr 2019 führten Forscher eine Studie durch Erstellen Sie einen Reinforcement-Learning-Angriff Dies ist es, was verhaltensbasierte reCAPTCHAv3-Herausforderungen in 97 Prozent der Fälle zunichte macht.

„Version 3 ist besser als Version 2, weil sie ausschließlich auf Verhalten basiert“, bemerkte Gene Tsudek, Informatikprofessor an der University of California, Irvine. „Aber wie Version 2 handelt es sich nicht um ein echtes CAPTCHA – das heißt, es ist kein ‚allgemeiner‘ und kein Turing-Test. Es handelt sich um eine Methode, die auf Verhaltensanalysen basiert und das Benutzerverhalten bewertet. Sie verstößt daher gegen die Privatsphäre.“ weil wir (die Öffentlichkeit) nicht wissen, wie es funktioniert. Es ist im Grunde eine „Black Box“.

„Diese Systeme waren übermächtig, bevor sie weltweit eingeführt wurden“, behauptete Searles. „Die Probleme mit der Bildauswahl wurden 2009 von Computern gelöst (aber Google hat sie 2014 hinzugefügt). Zur Erkennung von Verhalten wurden reCATPCHA-Cookies von Drittanbietern eingeführt Schwachstelle „Spamming-Klicks“.„, wodurch es einfacher wird, sie automatisch zu umgehen.“

Sie sind das Produkt

Die Forschungsergebnisse der Autoren basieren auf einer Studie, die über einen Zeitraum von 13 Monaten in den Jahren 2022 und 2023 an Nutzern durchgeführt wurde. Etwa 9.141 reCAPTCHAv2-Sitzungen von ahnungslosen Teilnehmern wurden erfasst und in Verbindung mit einer Umfrage unter 108 Personen analysiert.

Die Befragten gaben reCAPTCHA v2 Checkbox Puzzle eine Punktzahl von 78,51 von 100 Maß für die Benutzerfreundlichkeit des SystemsWährend das Bilderrätsel nur eine Bewertung von 58,90 erhielt. „Die Ergebnisse zeigen, dass 40 Prozent der Teilnehmer die Bildkopie als störend (oder sehr störend) empfanden

Aber insgesamt verursachen reCAPTCHA-Interaktionen erhebliche Kosten, von denen Google einen Teil übernimmt.

„In Bezug auf die Kosten schätzen wir, dass in den 13 Jahren seiner Veröffentlichung 819 Millionen Stunden menschlicher Zeit für reCAPTCHA aufgewendet wurden, was einem Lohn von mindestens 6,1 Milliarden US-Dollar entspricht“, geben die Autoren in ihrem Papier an.

„Der durch reCAPTCHA erzeugte Datenverkehr verbrauchte 134 Petabyte Bandbreite, was etwa 7,5 Millionen Kilowattstunden Energie entspricht, was 7,5 Millionen Pfund Kohlendioxid entspricht²Darüber hinaus hat Google mit Cookies wahrscheinlich 888 Milliarden US-Dollar erwirtschaftet. [created by reCAPTCHA sessions] und 8,75–32,3 Milliarden US-Dollar pro Verkauf aus ihrem gesamten gekennzeichneten Datensatz.

Auf die Frage, ob die Kosten, die Google den reCAPTCHA-Nutzern in Form von Zeit und Aufwand entstehen, unangemessen oder ausbeuterisch seien, wies Searles darauf hin Originales Whitepaper Über CAPTCHAs von Louis von Ahn, Manuel Blom und John Langford – einschließlich eines Abschnitts mit dem Titel „Stealing Spins from Humans“.

„Das ist es im Grunde [summarizes] „Die Art und Weise, wie CAPTCHAs eine ausbeuterische Arbeitsökonomie schaffen, in der böse Bots Menschen rekrutieren können, um in ihrem Namen Herausforderungen zu meistern, ist es unvernünftig, jemanden zu zwingen, eine Sicherheitsherausforderung zu lösen, wenn dadurch keine Sicherheit gewonnen wird“, erklärte Searles.

Searles behauptete, dass diese Kosten von Google getragen werden sollten und nicht von den Nutzern der Website. Er fügte hinzu: „Wenn ein Dienst behauptet, Bots erkennen zu können, sollte er dies auch tun – insbesondere, wenn es sich um einen kostenpflichtigen Dienst handelt.“

Wie in dem Papier festgestellt wird, gibt es seit 2004 Herausforderungen bei der Bildkennzeichnung, und bis 2010 gab es Angriffe, mit denen diese zu 100 % überwunden werden konnten. Trotzdem hat Google die zweite Version von reCAPTCHA mit einer alternativen Sicherheitsherausforderung zur Bilderkennung eingeführt, die sich vor vier Jahren als unsicher erwiesen hat.

Die Autoren behaupten, dass dies aus Sicherheitsgründen keinen Sinn ergibt. Es ist jedoch sinnvoll, wenn das Ziel darin besteht, Bildklassifizierungsdaten zu erfassen – die Ergebnisse der Identifizierung von CAPTCHA-Bildern durch Benutzer – die Google verwendet. Es wird zufällig verkauft Als Cloud-Service.

„Wir können daraus schließen, dass der wahre Zweck von reCAPTCHA v2 eine kostenlose Cookie-Farm zur Bildmarkierung und -verfolgung für Werbung und Datenmonetarisierung ist, die als Sicherheitsdienst getarnt ist“, heißt es in dem Papier.

„Ich denke, es gibt absolut keinen Platz für harte KI-Probleme in der Computersicherheit“, meinte Searles. „Dies war ein Experiment, das einige Rechenfähigkeiten verbesserte, aber es gibt keine realistische oder messbare Sicherheit durch den Einsatz dieser Technologie.“

Google antwortete nicht auf eine Anfrage nach einem Kommentar.