Стать «старым» за пять минут. Инструкция для тех, кто не хочет показывать лицо алгоритмам
NewsMakerНайдена дыра в главной системе верификации интернета.
Пользователи нашли способ обойти проверку возраста в популярных сервисах и автоматически подтвердить совершеннолетие без реального сканирования лица. Речь идёт о механизме, который применяется на площадках вроде Discord , Twitch, Kick и Snapchat через сторонний сервис проверки возраста k-id. Разработчики обходного инструмента выложили описание метода и заявили, что он позволял «подтвердить» взрослый возраст на любом сайте с такой проверкой.
Суть схемы строилась на особенностях работы поставщика проверки возраста. Вместо отправки видеозаписи лица на сервер система передаёт только служебные данные и числовые параметры, полученные во время анализа изображения. Это считается более безопасным для приватности, но, как выяснилось, открывает возможность подделки. Авторы инструмента заявили, что сервер принимает набор технических параметров и не может надёжно отличить настоящую проверку от сгенерированной.
По их словам, раньше подделать такие данные было довольно просто, однако партнёр сервиса k-id, который отвечает за распознавание лица, усилил защиту после появления первого подобного обхода. Старый вариант инструмента перестал работать. После того как Discord решил сделать проверку возраста обязательной для всех пользователей, исследователи снова взялись за анализ механизма.
Они изучили сетевые запросы и заметили, что корректная проверка отправляет зашифрованный блок данных с дополнительными служебными полями, включая метку времени и вектор инициализации. Этот блок формируется с помощью алгоритма шифрования AES-GCM и ключа, вычисленного из нескольких параметров сеанса. Авторы обхода заявили, что смогли воспроизвести эту схему и научились генерировать такие же поля в поддельных запросах.
Пользователи нашли способ обойти проверку возраста в популярных сервисах и автоматически подтвердить совершеннолетие без реального сканирования лица. Речь идёт о механизме, который применяется на площадках вроде Discord , Twitch, Kick и Snapchat через сторонний сервис проверки возраста k-id. Разработчики обходного инструмента выложили описание метода и заявили, что он позволял «подтвердить» взрослый возраст на любом сайте с такой проверкой.
Суть схемы строилась на особенностях работы поставщика проверки возраста. Вместо отправки видеозаписи лица на сервер система передаёт только служебные данные и числовые параметры, полученные во время анализа изображения. Это считается более безопасным для приватности, но, как выяснилось, открывает возможность подделки. Авторы инструмента заявили, что сервер принимает набор технических параметров и не может надёжно отличить настоящую проверку от сгенерированной.
По их словам, раньше подделать такие данные было довольно просто, однако партнёр сервиса k-id, который отвечает за распознавание лица, усилил защиту после появления первого подобного обхода. Старый вариант инструмента перестал работать. После того как Discord решил сделать проверку возраста обязательной для всех пользователей, исследователи снова взялись за анализ механизма.
Они изучили сетевые запросы и заметили, что корректная проверка отправляет зашифрованный блок данных с дополнительными служебными полями, включая метку времени и вектор инициализации. Этот блок формируется с помощью алгоритма шифрования AES-GCM и ключа, вычисленного из нескольких параметров сеанса. Авторы обхода заявили, что смогли воспроизвести эту схему и научились генерировать такие же поля в поддельных запросах.