Recentemente, o Google está testando um novo recurso para fortalecer a verificação reCAPTCHA – “Hand Gesture Verification” (HGV), que coleta vídeos das mãos dos usuários para determinar se são pessoas reais. No entanto, esta funcionalidade rapidamente causou controvérsia em termos de privacidade e segurança.

De acordo com a documentação oficial do Google, o HGV exige que os visitantes do site concedam acesso à câmera de seus dispositivos para gravar “um ou mais” videoclipes manuais. Durante o processo de verificação, o usuário precisa acenar ou fazer um gesto designado para a câmera, e o sistema extrairá características biométricas importantes para determinar se o operador é um humano e não um script automatizado ou robô.

O Google acredita que este método de identificação biométrico pode melhorar a segurança do reCAPTCHA, mas os resultados dos testes reais mostram que o HGV não alcançou os resultados esperados. Pesquisadores de segurança e usuários comuns usaram com sucesso imagens de banco de dados e funções de câmera virtual para contornar esse sistema: o invasor só precisa preparar um "aceno" ou foto da mão correspondente ao movimento, e a verificação pode ser concluída por meio da saída da câmera virtual de software como o OBS Studio, sem a necessidade de uma câmera real e uma pessoa real para cooperar.

Com o avanço do aprendizado de máquina e da tecnologia de automação, os sistemas de código de verificação existentes têm sido frequentemente “quebrados” por robôs de IA. Vários estudos mostraram que os códigos tradicionais de verificação gráfica, como o reconhecimento complexo de semáforos, podem ser resolvidos por ferramentas automatizadas na maioria dos casos. Os primeiros casos de falha do HGV destacam ainda que, mesmo que a biometria seja introduzida, se o processo de interação e o próprio canal não possuírem um design antifalsificação, eles também poderão ser contornados em lotes por câmeras virtuais, imagens de banco de imagens e scripts simples.

Além da eficácia técnica, as questões de privacidade também se tornaram foco de controvérsia. Os críticos apontam que tais esquemas de verificação baseados em câmeras e biometria irão “normalizar” invisivelmente o monitoramento contínuo em segundo plano dos usuários, permitindo que os usuários abram dados de câmeras mais sensíveis para grandes empresas de tecnologia, a fim de acessar sites comuns. No atual ambiente cada vez mais sensível à privacidade, pedir aos usuários que forneçam frequentemente imagens ou vídeos ao vivo provavelmente será considerado uma coleta excessiva de dados.

Em resposta a dúvidas externas, o Google afirmou que o HGV só é utilizado para reconhecer gestos na gravação de vídeos, não coletará ou processará conteúdo de áudio, e que o vídeo será “excluído o mais rápido possível” após a conclusão da verificação. A nota oficial enfatizou ainda que esses vídeos “não estarão” diretamente vinculados à identidade do usuário. No entanto, alguns especialistas em segurança e privacidade acreditam que este compromisso é difícil de eliminar dúvidas - por um lado, os utilizadores comuns não podem verificar a real política de retenção de dados do sistema back-end; por outro lado, a infraestrutura em nuvem de grandes plataformas geralmente possui mecanismos redundantes de backup e recuperação de desastres, e o ciclo de vida real dos dados pode ser muito mais complicado do que o exibido pela interface front-end.

Esta preocupação não é infundada. Em um caso anterior de grande repercussão, o vídeo “excluído” da câmera Nest do Google foi recuperado do sistema em nuvem e usado para auxiliar na investigação de um incidente de sequestro de alto risco. Este caso é visto como prova de que mesmo que o conteúdo exibido na interface front-end tenha sido excluído, o sistema back-end ainda pode reter uma cópia dos dados correspondentes sob certas condições. Os críticos questionaram, portanto, se os dados de vídeo gravados pelos veículos pesados ​​também serão retidos em determinados cenários ou utilizados para treinar vários modelos, incluindo o Gemini, amplificando assim potenciais riscos de privacidade.

À medida que o tráfego automatizado e a atividade de bots maliciosos continuam a crescer, a evolução da tecnologia CAPTCHA ainda é claramente uma questão importante enfrentada pelas principais plataformas. No entanto, a julgar pelo desempenho inicial dos veículos pesados, a introdução de câmaras e de sistemas biométricos, por si só, não pode garantir maior segurança. Em vez disso, pode expor antecipadamente os utilizadores a maiores riscos de privacidade, quando a tecnologia ainda não está madura. Embora os intervenientes da indústria, incluindo a Cloudflare e os fabricantes de navegadores, estejam a explorar ativamente soluções "de-captcha" para reduzir o atrito dos utilizadores, como encontrar um equilíbrio entre segurança, prevenção de abusos e proteção da privacidade está a tornar-se um problema que toda a indústria deve enfrentar.