Sådan omgår du automatisk CAPTCHA’er for apps og websteder på din iPhone, iPad eller Mac

Hvis du hader matchende billeder eller at skrive bogstaver til menneskelig CAPTCHA-bekræftelse, vil du elske Apples seneste softwareopdateringer til iOS, iPadOS og macOS.

Typisk kan CAPTCHA’er blive et kæmpe mareridt på mobile enheder. De bruges af websteder til sikkerhedsformål, til at opdage bots, forhindre aktive lammelsesangreb og på anden måde beskytte deres servere, men de ender med at irritere deres brugere.

• Dette gør brugeren langsommere ved at tilføje endnu et trin for at logge på eller fuldføre en opgave. Cloudflare anslår , at det tager en gennemsnitlig bruger 32 sekunder at gennemføre en CAPTCHA-test.
• Du kan ende med dårlige billeder, der gør det svært at matche både, trafiklys, cykler eller andet.
• Ord kan blandes på en sådan måde, at det er umuligt at vælge det rigtige bogstav.
• Gengivelse af data, der kræves til drift, bruger overskydende båndbredde.
• Dette fungerer ikke godt med brugere, der har problemer med tilgængelighed.
• Det kan spore din IP-adresse og andre personlige data.

Med de nye iOS 16, iPadOS 16 og macOS 13 Ventura-opdateringer har Apple implementeret en ny sikkerhedsfunktion, der giver dig mulighed for at omgå CAPTCHA-verifikation. Det gør det ved hjælp af iCloud og Private Access Tokens (PAT) for at sikre, at din enhed foretager HTTP-anmodninger. Som en bonus vil det ikke afsløre din identitet eller dele personlige data såsom IP-adresser.

CAPTCHA i iOS 15 (venstre) og privatlivstokens i iOS 16 (højre). Billede via Apple

For at implementere PAT på et websted eller en applikation skal dens servere have værtsnavnet og den offentlige nøgle for en betroet tokenudsteder, som kan være et indholdsleveringsnetværk (CDN) såsom Cloudflare eller Fastly, en webhostingudbyder eller en CAPTCHA-udbyder. Fastly bemærker , at webstedsejere skal aktivere PAT, men for Cloudflare-kunder sker dette automatisk.

Disse oplysninger sendes derefter til brugerne i form af et “PrivateToken”-opkald. Denne nye HTTP-godkendelsesordning bruger RSA blinde signaturer til kryptografisk at bekræfte over for serveren, at din enhed består attestationsbekræftelse.

Disse signaturer er “unlinkable”, hvilket betyder, at servere, der modtager tokens, kun kan verificere deres gyldighed, men ikke kan opdage klientidentiteter eller genkende klienter over tid.

Private adgangstokens er ikke kun til Apple-enheder, da de er en del af en bredere autentificeringsstandard kaldet Privacy Pass , som udvikles af Internet Engineering Task Force (IETF), som omfatter Apple og Google. I øjeblikket er Cloudflare og Fastly de eneste CDN’er, som Apple har arbejdet med, men de arbejder sammen med andre virksomheder for at bringe det til bred anvendelse på nettet.

Apples iOS 16-, iPadOS 16- og macOS 13-software er i øjeblikket i beta, men du kan deltage i betaen, hvis du gerne vil teste denne nye funktion – sammen med en række andre nye funktioner. Du kan opleve fejl, nedsat batterilevetid og andre fejl, når du kører betaen, men du kan altid nedgradere, hvis det er nødvendigt.

Denne funktion er aktiveret som standard, men du kan dobbelttjekke, om den er aktiveret. På iOS og iPadOS 16 skal du gå til Indstillinger -> [dit navn] -> Adgangskode og sikkerhed -> Automatisk bekræftelse. På macOS 13 skal du gå til Indstillinger -> Apple ID -> Adgangskode og sikkerhed -> Automatisk bekræftelse.