Google nâng cấp công nghệ reCaptcha V3: bảo mật và thuận tiện hơn hay là công cụ lấy dữ liệu?

reCaptcha với câu "I'm not a robot" hay bắt bạn tìm ra vạch kẻ đường, cột chữa cháy, đèn tín hiệu giao thông ... sẽ không còn xuất hiện để quấy rối chúng ta mỗi khi đăng nhập tài khoản hay điền biểu mẫu trên một trang web nữa. Google đã cập nhật hệ thống reCaptcha này lên version 3, chỉ chờ các nhà phát triển web triển khai rộng rãi nhưng từ đây, vấn đề về sự riêng tư của người dùng một lần nữa bị đặt dấu chấm hỏi?

reCaptcha V3 hoạt động dựa trên phân tích hành vi duyệt web, từ đó xác định là người hay máy:

Cy Khormaee - trưởng bộ phận reCaptcha của Google cho hay: "reCaptcha V3 sẽ mang lại trải nghiệm tốt hơn cho người dùng. Ai cũng từng xác thực thất bại với Captcha". Theo đó với phiên bản thứ 3 của công nghệ xác thực reCaptcha thì Google sẽ tiến hành phân tích cách mà người dùng chuyển hướng trên các trang web, từ đó thiết lập một thang điểm gọi là điểm rủi ro (risk score) dựa vào hành vi. Khormaee không tiết lộ về loại thông tin hay tín hiệu nào được Google sử dụng để chấm điểm hành vi vì cho rằng những kẻ tấn công sẽ có thể dễ dàng bắt chước hành vi của người dùng bình thường. Tuy nhiên anh tỏ ra tự tin về hệ thống reCaptcha mới khi nó sẽ khiến những ai đang dùng bot để đánh lừa Google vượt hệ thống Captcha phải nản lòng.

​

Anh nói: "Những kẻ nuôi bot net cần phải hiểu được hành vi của một con người thật trên một trang web từ đó phải bắt chước sao cho thật giống mới có thể đánh lừa chúng tôi. Vấn đề khó nhất ở đây đó là "Giả vờ là một con người" (ý nói bot)". Quản trị viên của một trang web có thể truy xuất thang điểm rủi ro từ đó quyết định hành động tiếp theo. Chẳng hạn như nếu một người dùng có điểm rủi ro cao đang cố gắng đăng nhập thì trang web có thể thiết lập các quy tắc để yêu cầu người dùng nhập thông tin xác thực bổ sung thông qua hình thức xác thực 2 lớp. Khormaee nói sẽ hơi phiền một chút nếu bạn là người dùng bình thường nhưng ngược lại nếu đối mặt với kẻ tấn công, chúng tôi sẽ có thể bảo vệ tài khoản của bạn trước nguy cơ bị đánh cắp.

Theo các thống kê của trang Built With thì hơn 650.000 trang web đang sử dụng reCaptcha V3 trong tổng số 4,5 triệu trang ứng dụng reCaptcha các phiên bản. 25% trong số 10.000 trang web top đầu đang sử dụng công nghệ xác thực này. Google cũng đang thử nghiệm một phiên bản dành cho doanh nghiệp của reCaptcha V3 với các tính năng tùy biến để doanh nghiệp có thể bảo vệ trang web của họ trước mã độc hay bot.

Tuy nhiên, hệ thống xác thực dựa trên điểm rủi ro này lại đi cùng với một nhược điểm lớn đó là: sự riêng tư của người dùng!

Theo 2 nhà nghiên cứu bảo mật chuyên nghiên cứu về reCaptcha thì một trong những cách mà Google dùng để xác định người dùng có hành vi đáng ngờ hay không là dựa trên Google cookie được cài trên trình duyệt. Đây cũng là cookie cho phép bạn mở các thẻ mới trên trình duyệt mà không cần phải đăng nhập vào tài khoản Google trở lại (bạn mở Gmail và đăng nhập, mở Google Search hay YouTube vẫn tài khoản đó không cần đăng nhập lại).

Tuy nhiên theo Mohamed Akrout - nghiên cứu sinh tiến sĩ ngành khoa học máy tính tại đại học Toronto thì khả năng Google cũng sử dụng các cookie này để xác định yếu tố con người với reCaptcha V3. Akrout đã viết một báo cáo và công bố hồi tháng 4 về cách reCaptcha V3 mô phỏng những gì chạy trên một trình duyệt với tài khoản Google đã kết nối và kết quả là điểm rủi ro của của tài khoản Google này luôn thấp hơn so với các trình duyệt không đăng nhập. Anh nói: "Nếu bạn có tài khoản Google thì khả năng bạn là con người cao hơn" . Google vẫn không phản hồi trước các câu hỏi về vai trò của Google cookie đối với công nghệ reCaptcha.

Nhà cố vấn bảo mật Marcos Perona cũng xác nhận điều này khi nói điểm rủi ro reCaptcha luôn thấp hơn khi lướt trang web thử nghiệm bằng trình duyệt có đăng nhập tài khoản Google. Ngược lại, nếu mở trang web thử nghiệm trên một trình duyệt bảo mật riêng tư như Tor Browser hay thông qua VPN thì điểm số này luôn cao.

​

Để khiến hệ thống chấm điểm rủi ro hoạt động chính xác thì quản trị viên trang web phải nhúng mã reCaptcha V3 trên tất cả các trang của trang web, không chỉ là trên các biểu mẫu hay trang đăng nhập. Sau đó, reCaptcha qua thời gian sẽ học được hành vi phổ biến của người dùng trên trang web, giúp thuật toán máy học đưa ra thang điểm rủi ro chính xác hơn. Do reCaptcha V3 có khả năng xuất hiện trên mọi trang của trang web thành ra nếu bạn đăng nhập tài khoản Google, Google cũng có thể nhận được dữ liệu về mọi trang web bạn truy cập được nhúng reCaptcha V3. Từ đó, không có bất cứ hộp thông báo hay khung xác thực bằng hình ảnh nào hiện ra ngoại trừ một logo reCaptcha nhỏ ẩn ở góc trang web.

Khormaee không nói về cách Google sử dụng dữ liệu cho reCapcha mà chỉ nhắc đến nội dung điều khoản dịch vụ của Google nhúng trong logo reCaptcha có mặt trên hầu hết các trang web. Dù vậy, không có thông tin tham khảo nào về reCaptcha trong các điều khoản này. Sau khi thông tin trên được công bố thì Google đã tiếp cận với trang Fast Company và cho biết hàm API của reCaptcha sẽ gởi thông tin phần mềm và phần cứng bao gồm dữ liệu thiết bị và ứng dụng về cho Google để phân tích và dịch vụ này chỉ được sử dụng để chống spam cũng như các hình thức lạm dụng khác.

Tăng cường bảo mật và trải nghiệm hay là một công cụ để moi dữ liệu người dùng?

Google vẫn đang khuyến khích các trang web sử dụng reCaptcha trên toàn trang từ đó Google sẽ có thể chia sẻ thông tin về điểm rủi ro cho các quản trị viên nhằm mục đích bảo mật. Theo Perona thì đây là mục đích tốt bởi nó sẽ mang lại cho người sở hữu trang web quyền điều khiển và nhận thức rõ ràng hơn về những gì đang xảy ra trước nguy cơ bị tấn công bởi scammer hay bot. Quản trị viên trang web cũng có được hệ thống điểm rủi ro chính xác hơn thay vì chỉ dựa vào dữ liệu reCaptcha ở một trang duy nhất chẳng hạn như trang đăng nhập. Và dù mang lại cho người dùng sự tiện lợi nhưng đổi lại Google sẽ thu thập nhiều dữ liệu hơn. Google không nói rõ họ sẽ làm gì với dữ liệu lấy được về hành vi của người dùng thông qua reCaptcha, liệu chăng chỉ sử dụng để cải tiến reCaptcha và các mục đích bảo mật nói chung?

​

Cookie là một thứ không thể thiếu trên Internet và cũng đang được xem là vấn nạn bởi các công ty lớn sử dụng cookie để biết được hành vi lướt web của người dùng nhằm phục vụ cho loại hình quảng cáo định hướng đối tượng. Một ví dụ, Google cookie dùng cho reCaptcha sẽ hoạt động tương tự như nút Like của Facebook được nhúng trên rất nhiều trang web. Nhấn vào nút Like, Facebook sẽ biết bạn đang xem trang nào và một lát sau khi bạn lướt Facebook, quảng cáo liên quan về thứ bạn đã xem trên trang web đó sẽ hiện ra. Trước đây Google từng khẳng định dữ liệu thu thập từ reCaptcha không được sử dụng để quảng cáo định hướng hay phân tích sở thích của người dùng và lần này Google lặp lại khẳng định này trước những nghi vấn được giới bảo mật nêu ra.

Perona cho rằng reCaptcha V3 là một công cụ giúp Google củng cố sự thống trị của mình trên Internet. reCaptcha cũng giống như nhiều sản phẩm khác của Google như Accelerated Mobile Pages (AMP) - một chương trình giúp các trang web mới tải nhanh hơn trên thiết bị di động nhưng cũng là thứ giúp Google lấy lưu lượng truy cập từ các trang này. Tương tự với trình duyệt Chrome - trang Washington Post đã gọi trình duyệt này là một công cụ giám sát và khuyên người dùng nên từ bỏ.

Perona nói: "Nó luôn là một con dao hai lưỡi. Bạn có được thứ gì đó và bạn phải cho Google quyền kiểm soát mọi thứ trên Internet." Nó có thể tăng độ bảo mật và trải nghiệm người dùng nhưng ảnh hưởng đến sự riêng tư.

Google vẫn không nói đến các vấn đề vi phạm quyền riêng tư và một mực cho rằng reCaptcha V3 là một vấn đề thuộc trách nhiệm của công ty. Google nhìn nhận công nghệ này là một cách để đảm bảo trải nghiệm trực tuyến an toàn, không gây trở ngại cho người dùng. Khormaee còn nói: "Google đã được tích hợp rất sâu vào Internet và chúng tôi muốn làm mọi thứ có thể để bảo vệ nó."

Theo: Fast Company​