Hoe CAPTCHA’s automatisch te omzeilen voor apps en websites op je iPhone, iPad of Mac

Als je een hekel hebt aan het matchen van afbeeldingen of het typen van letters voor menselijke CAPTCHA-verificatie, zul je dol zijn op de nieuwste software-updates van Apple voor iOS, iPadOS en macOS.

Doorgaans kunnen CAPTCHA’s een enorme nachtmerrie worden op mobiele apparaten. Ze worden door websites gebruikt voor beveiligingsdoeleinden, om bots te detecteren, actieve denial of service-aanvallen te voorkomen en anderszins hun servers te beschermen, maar uiteindelijk irriteren ze hun gebruikers.

• Dit vertraagt ​​de gebruiker door nog een stap toe te voegen om in te loggen of een taak te voltooien. Cloudflare schat dat het een gemiddelde gebruiker 32 seconden kost om een ​​CAPTCHA-test te voltooien.
• U kunt eindigen met slechte afbeeldingen die het moeilijk maken om boten, verkeerslichten, fietsen of iets anders te matchen.
• Woorden kunnen zo door elkaar worden gehaald dat het onmogelijk is om de juiste letter te kiezen.
• Het weergeven van gegevens die nodig zijn voor de werking, verbruikt overtollige bandbreedte.
• Dit werkt niet goed bij gebruikers met toegankelijkheidsproblemen.
• Het kan uw IP-adres en andere persoonlijke gegevens volgen.

Met de nieuwe iOS 16-, iPadOS 16- en macOS 13 Ventura-updates heeft Apple een nieuwe beveiligingsfunctie geïmplementeerd waarmee je CAPTCHA-verificatie kunt omzeilen. Het doet dit met behulp van iCloud en Private Access Tokens (PAT) om ervoor te zorgen dat uw apparaat HTTP-verzoeken doet. Als bonus zal het uw identiteit niet onthullen of persoonlijke gegevens zoals IP-adressen delen.

CAPTCHA in iOS 15 (links) en privacytokens in iOS 16 (rechts). Afbeelding via Apple

Om PAT op een website of applicatie te implementeren, moeten de servers de hostnaam en openbare sleutel hebben van een vertrouwde tokenuitgever, wat een content delivery network (CDN) kan zijn, zoals Cloudflare of Fastly, een webhostingprovider of een CAPTCHA-provider. Merkt snel op dat site-eigenaren PAT moeten inschakelen, maar voor Cloudflare-klanten gebeurt dit automatisch.

Deze informatie wordt vervolgens naar gebruikers verzonden in de vorm van een “PrivateToken” -oproep. Dit nieuwe HTTP-authenticatieschema maakt gebruik van blinde RSA-handtekeningen om cryptografisch aan de server te bevestigen dat uw apparaat de attestverificatie doorstaat.

Deze handtekeningen zijn “unlinkable”, wat betekent dat servers die tokens ontvangen alleen hun geldigheid kunnen verifiëren, maar geen client-identiteiten kunnen ontdekken of clients in de loop van de tijd kunnen herkennen.

Privétoegangstokens zijn niet alleen voor Apple-apparaten, ze maken deel uit van een bredere authenticatiestandaard genaamd Privacy Pass , die wordt ontwikkeld door de Internet Engineering Task Force (IETF), waartoe ook Apple en Google behoren. Momenteel zijn Cloudflare en Fastly de enige CDN’s waarmee Apple heeft gewerkt, maar het werkt samen met andere bedrijven om het op het web breed te laten adopteren.

Apple’s iOS 16-, iPadOS 16- en macOS 13-software is momenteel in bèta, maar u kunt deelnemen aan de bèta als u deze nieuwe functie wilt testen, samen met een aantal andere nieuwe functies. U kunt bugs, een verminderde levensduur van de batterij en andere glitches tegenkomen tijdens het uitvoeren van de bèta, maar u kunt indien nodig altijd downgraden.

Deze functie is standaard ingeschakeld, maar u kunt controleren of deze is ingeschakeld. Ga op iOS en iPadOS 16 naar Instellingen -> [uw naam] -> Wachtwoord en beveiliging -> Automatische verificatie. Ga op macOS 13 naar Instellingen -> Apple ID -> Wachtwoord en beveiliging -> Automatische verificatie.