iPhone, iPad 또는 Mac에서 앱 및 웹사이트의 CAPTCHA를 자동으로 우회하는 방법

사람의 CAPTCHA 인증을 위해 이미지를 일치시키거나 문자를 입력하는 것이 싫다면 iOS, iPadOS 및 macOS용 Apple의 최신 소프트웨어 업데이트가 마음에 드실 것입니다.

일반적으로 CAPTCHA는 모바일 장치에서 엄청난 악몽이 될 수 있습니다. 보안 목적, 봇 감지, 활성 서비스 거부 공격 방지 및 서버 보호를 위해 웹 사이트에서 사용하지만 결국 사용자를 짜증나게 합니다.

• 이렇게 하면 로그인 또는 작업 완료에 다른 단계를 추가하여 사용자 속도가 느려집니다. Cloudflare는 평균 사용자가 CAPTCHA 테스트를 완료하는 데 32초가 걸린다고 추정합니다.
• 보트, 신호등, 자전거 또는 그 밖의 어떤 것과도 일치시키기 어렵게 만드는 나쁜 이미지로 끝날 수 있습니다.
• 올바른 문자를 선택하는 것이 불가능한 방식으로 단어가 뒤섞일 수 있습니다.
• 작업에 필요한 렌더링 데이터는 과도한 대역폭을 소비합니다.
• 이것은 접근성 문제가 있는 사용자에게는 잘 작동하지 않습니다.
• IP 주소 및 기타 개인 데이터를 추적할 수 있습니다.

새로운 iOS 16, iPadOS 16 및 macOS 13 Ventura 업데이트를 통해 Apple은 CAPTCHA 확인을 우회할 수 있는 새로운 보안 기능을 구현했습니다. 이는 iCloud 및 PAT(Private Access Token)를 사용하여 기기가 HTTP 요청을 하고 있는지 확인합니다. 보너스로 귀하의 신원을 밝히거나 IP 주소와 같은 개인 데이터를 공유하지 않습니다.

iOS 15(왼쪽)의 CAPTCHA와 iOS 16(오른쪽)의 프라이버시 토큰. Apple을 통한 이미지

웹사이트 또는 애플리케이션에서 PAT를 구현하려면 해당 서버에 신뢰할 수 있는 토큰 발급자의 호스트 이름과 공개 키가 있어야 합니다. 이 발급자는 Cloudflare 또는 Fastly와 같은 콘텐츠 전송 네트워크(CDN), 웹 호스팅 공급자 또는 CAPTCHA 공급자일 수 있습니다 . 사이트 소유자가 PAT를 활성화해야 하지만 Cloudflare 고객의 경우 이 작업이 자동으로 수행된다는 점을 신속하게 확인합니다 .

이 정보는 “PrivateToken” 호출 형식으로 사용자에게 전송됩니다. 이 새로운 HTTP 인증 체계는 RSA 블라인드 서명을 사용하여 장치가 증명 확인을 통과했음을 서버에 암호화 방식으로 확인합니다.

이러한 서명은 “연결 불가능”합니다. 즉, 토큰을 받는 서버는 유효성을 확인할 수만 있지만 시간이 지남에 따라 클라이언트 ID를 검색하거나 클라이언트를 인식할 수는 없습니다.

비공개 액세스 토큰은 Apple 과 Google을 포함하는 IETF(Internet Engineering Task Force)에서 개발 중인 Privacy Pass 라는 보다 광범위한 인증 표준 의 일부이기 때문에 Apple 장치에만 해당되는 것이 아닙니다 . 현재 Cloudflare와 Fastly는 Apple이 함께 작업한 유일한 CDN이지만 웹에서 널리 채택되도록 다른 회사와 협력하고 있습니다.

Apple의 iOS 16, iPadOS 16 및 macOS 13 소프트웨어는 현재 베타 버전이지만 이 새로운 기능과 함께 다른 여러 새로운 기능을 테스트하려면 베타에 참여할 수 있습니다. 베타를 실행할 때 버그, 배터리 수명 감소 및 기타 결함이 발생할 수 있지만 필요한 경우 언제든지 다운그레이드할 수 있습니다.

이 기능은 기본적으로 활성화되어 있지만 활성화되어 있는지 다시 확인할 수 있습니다. iOS 및 iPadOS 16에서는 설정 -> [사용자 이름] -> 암호 및 보안 -> 자동 확인으로 이동합니다. macOS 13에서 설정 -> Apple ID -> 암호 및 보안 -> 자동 확인으로 이동합니다.