Come bypassare automaticamente i CAPTCHA per app e siti web sul tuo iPhone, iPad o Mac

Se odi abbinare le immagini o digitare lettere per la verifica CAPTCHA umana, adorerai gli ultimi aggiornamenti software di Apple per iOS, iPadOS e macOS.

In genere, i CAPTCHA possono diventare un enorme incubo sui dispositivi mobili. Sono utilizzati dai siti Web per motivi di sicurezza, per rilevare bot, prevenire attacchi di negazione attiva del servizio e proteggere in altro modo i loro server, ma finiscono per infastidire i loro utenti.

• Ciò rallenta l’utente aggiungendo un altro passaggio per accedere o completare un’attività. Cloudflare stima che un utente medio impieghi 32 secondi per completare un test CAPTCHA.
• Puoi finire con immagini scadenti che rendono difficile abbinare barche, semafori, biciclette o qualsiasi altra cosa.
• Le parole possono essere mescolate in modo tale che è impossibile scegliere la lettera giusta.
• Il rendering dei dati richiesti per il funzionamento consuma larghezza di banda in eccesso.
• Questo non funziona bene con gli utenti che hanno problemi di accessibilità.
• Può tracciare il tuo indirizzo IP e altri dati personali.

Con i nuovi aggiornamenti iOS 16, iPadOS 16 e macOS 13 Ventura, Apple ha implementato una nuova funzione di sicurezza che ti consente di bypassare la verifica CAPTCHA. Lo fa utilizzando iCloud e i token di accesso privato (PAT) per assicurarsi che il tuo dispositivo stia effettuando richieste HTTP. Come bonus, non rivelerà la tua identità né condividerà dati personali come gli indirizzi IP.

CAPTCHA in iOS 15 (a sinistra) e token di privacy in iOS 16 (a destra). Immagine tramite Apple

Per implementare PAT su un sito Web o un’applicazione, i suoi server devono avere il nome host e la chiave pubblica di un emittente di token affidabile, che può essere una rete di distribuzione di contenuti (CDN) come Cloudflare o Fastly, un provider di hosting Web o un provider CAPTCHA. Nota rapidamente che i proprietari dei siti devono abilitare PAT, ma per i clienti Cloudflare ciò avviene automaticamente.

Queste informazioni vengono quindi inviate agli utenti sotto forma di una chiamata “PrivateToken”. Questo nuovo schema di autenticazione HTTP utilizza le firme cieche RSA per confermare crittograficamente al server che il dispositivo supera la verifica dell’attestazione.

Queste firme sono “non collegabili”, il che significa che i server che ricevono i token possono solo verificarne la validità, ma non possono scoprire le identità dei client o riconoscere i client nel tempo.

I token di accesso privato non sono solo per i dispositivi Apple, in quanto fanno parte di uno standard di autenticazione più ampio chiamato Privacy Pass , che è stato sviluppato dall’Internet Engineering Task Force (IETF), che include Apple e Google. Attualmente, Cloudflare e Fastly sono gli unici CDN con cui Apple ha lavorato, ma sta lavorando con altre società per portarlo a un’ampia adozione sul web.

Il software iOS 16, iPadOS 16 e macOS 13 di Apple è attualmente in beta, ma puoi unirti alla beta se desideri testare questa nuova funzionalità, insieme a una serie di altre nuove funzionalità. Potresti riscontrare bug, ridurre la durata della batteria e altri problemi durante l’esecuzione della versione beta, ma puoi sempre eseguire il downgrade se necessario.

Questa funzione è abilitata per impostazione predefinita, ma puoi ricontrollare se è abilitata. Su iOS e iPadOS 16, vai su Impostazioni -> [il tuo nome] -> Password e sicurezza -> Verifica automatica. Su macOS 13, vai su Impostazioni -> ID Apple -> Password e sicurezza -> Verifica automatica.