Il nuovo sistema reCaptcha di Google semplifica notevolmente l'esperienza utente, tuttavia l'azienda si sarebbe rifiutata di diffondere i dettagli del suo funzionamento e questo avrebbe insospettito alcuni ricercatori oltre a diversi attivisti per il rispetto della privacy online.
reCaptcha V3 riesce ad identificare un utente umano in modo molto più semplice rispetto a reCaptcha V2, ovvero tramite un semplice click del mouse. In passato infatti venivano usate delle immagini in cui l'utente doveva riconoscere degli elementi ricorrenti, come ad esempio dei cartelli stradali.
Per capire se dietro al click del mouse c'è una persona o meno, gli algoritmi di reCaptcha V3 sfruttano un sistema di punteggio, basato su una serie di comportamenti sospetti, per ogni utente che visita un determinato sito web.
Se il punteggio è alto si passa il test, se invece è basso è plausibile che si venga bloccati.
Google però non ha mai specificato la metodologia usata per generare tali punteggi o come l'algoritmo di reCaptcha V3 riesca ad identificare i comportamenti "sospetti" degli utenti.
Cy Khormaee, Product Manager della divisione Google Safe Browsing, ha recentemente chiarito le motivazioni di tale scelta:
Google analizza il modo in cui gli utenti navigano attraverso i siti web e assegna loro un "punteggio di rischio" in base a quanto è sospetto il loro comportamento durante la navigazione. Tuttavia abbiamo deciso di non condividere al pubblico il modo in cui vengono analizzati i comportamenti, per evitare che gli utenti malevoli possano sfruttare tali conoscenze a loro vantaggio
In buona sostanza Khormaee avrebbe ammesso che Google analizza, non si sa bene come e quanto, il comportamento degli utenti sui siti web che adottano reCaptcha V3.
Secondo alcuni ricercatori uno dei metodi utilizzati da reCaptcha per analizzare il comportamento dell'utente si baserebbe sui cookie presenti nel browser. reCaptcha potrebbe dunque determinate se un utente è umano o meno in base alla presenza di cookie di Google, magari contando il numero di volte che ha eseguito il login su Gmail oppure sulla quantità di tab aperte.
Gli stessi ricercatori hanno eseguito altri test sfruttando Tor e un servizio VPN per capire se tale tesi fosse valida. Con questi strumenti il loro "score" di reCaptcha si modificava sensibilmente e si veniva etichettati come utenti "ad alto rischio", dunque come potenziali bot.
In buona sostanza reCaptcha v3 funzionerebbe in modo simile ai tasti "like" di Facebook, ovvero tiene traccia dei comportamenti dell'utente tra i vari siti web ed invia report, in forma anonima, a Google che sfrutta i dati raccolti per migliorare il suo servizio.
Via FastCompany