На проверке Google reCAPTCHA Hand Gesture Verification обойдена статичным изображением

captchaaaaaa.webp


Команда RTF Labs Studio обнаружила критическую уязвимость в новой биометрической системе Google — reCAPTCHA Hand Gesture Verification. Капча требует включить веб-камеру и выполнить жест (кулак, лайк, взмах), однако полностью обходится трансляцией обычного статичного файла через виртуальную камеру.


Несмотря на заявленный liveness detection и AI-трекинг анатомии руки, система не отличает живой видеопоток от "мёртвого" кадра.


Метод обхода:

  1. Виртуальная камера инициализируется через pyvirtualcam
  2. Статичный JPG/PNG с нужным жестом считывается через OpenCV
  3. Кадр транслируется в бесконечном цикле с фиксированным FPS

Нейросеть Google сканирует неподвижное изображение, распознаёт жест и возвращает статус PASSED. Проверок на микротремор, текстуру кожи или динамику движения нет.


Видео-демонстрация:


"It was easier to bypass than a text CAPTCHA" — RTF Labs Studio
 
  • Нравится
Реакции: Сергей Попов
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab