Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Стать «старым» за пять минут. Инструкция для тех, кто не хочет показывать лицо алгоритмам

leer en español

Discord Twitch возраст верификация k-ID
Стать «старым» за пять минут. Инструкция для тех, кто не хочет показывать лицо алгоритмам
Discord Twitch возраст верификация k-ID

Найдена дыра в главной системе верификации интернета.

image

Пользователи нашли способ обойти проверку возраста в популярных сервисах и автоматически подтвердить совершеннолетие без реального сканирования лица. Речь идёт о механизме, который применяется на площадках вроде Discord, Twitch, Kick и Snapchat через сторонний сервис проверки возраста k-id. Разработчики обходного инструмента выложили описание метода и заявили, что он позволял «подтвердить» взрослый возраст на любом сайте с такой проверкой.

Суть схемы строилась на особенностях работы поставщика проверки возраста. Вместо отправки видеозаписи лица на сервер система передаёт только служебные данные и числовые параметры, полученные во время анализа изображения. Это считается более безопасным для приватности, но, как выяснилось, открывает возможность подделки. Авторы инструмента заявили, что сервер принимает набор технических параметров и не может надёжно отличить настоящую проверку от сгенерированной.

По их словам, раньше подделать такие данные было довольно просто, однако партнёр сервиса k-id, который отвечает за распознавание лица, усилил защиту после появления первого подобного обхода. Старый вариант инструмента перестал работать. После того как Discord решил сделать проверку возраста обязательной для всех пользователей, исследователи снова взялись за анализ механизма.

Они изучили сетевые запросы и заметили, что корректная проверка отправляет зашифрованный блок данных с дополнительными служебными полями, включая метку времени и вектор инициализации. Этот блок формируется с помощью алгоритма шифрования AES-GCM и ключа, вычисленного из нескольких параметров сеанса. Авторы обхода заявили, что смогли воспроизвести эту схему и научились генерировать такие же поля в поддельных запросах.

Дальше проверка, как утверждается, опирается на массивы числовых результатов анализа лица. Эти значения проходят несколько этапов фильтрации и статистической обработки. Исследователи подобрали способ формировать правдоподобные наборы чисел, которые проходят серверные проверки. Кроме того, учитываются дополнительные условия, например совпадение имени камеры с перечнем устройств пользователя и согласованность временных отметок всех этапов процедуры.

После первой публикации поставщик технологии тихо добавил дополнительные проверки взаимосвязанных параметров, которые описывают движение и открытие глаз во время сканирования. Однако авторы инструмента заявили, что сумели обойти и это ограничение. Сейчас они сообщают, что метод уже закрыт обновлением со стороны сервиса, и ведётся работа над новым вариантом обхода.

Весь программный код был опубликован в открытом доступе. Представители сервисов проверки возраста на момент публикации не сообщили, были ли затронуты реальные учётные записи пользователей и планируются ли дополнительные изменения защиты.