Команда RTF Labs Studio обнаружила критическую уязвимость в новой биометрической системе Google — reCAPTCHA Hand Gesture Verification. Капча требует включить веб-камеру и выполнить жест (кулак, лайк, взмах), однако полностью обходится трансляцией обычного статичного файла через виртуальную камеру.
Несмотря на заявленный liveness detection и AI-трекинг анатомии руки, система не отличает живой видеопоток от "мёртвого" кадра.
Метод обхода:
- Виртуальная камера инициализируется через pyvirtualcam
- Статичный JPG/PNG с нужным жестом считывается через OpenCV
- Кадр транслируется в бесконечном цикле с фиксированным FPS
Нейросеть Google сканирует неподвижное изображение, распознаёт жест и возвращает статус PASSED. Проверок на микротремор, текстуру кожи или динамику движения нет.
Видео-демонстрация:
"It was easier to bypass than a text CAPTCHA" — RTF Labs Studio