Hoe u vervelende app- en website-CAPTCHA’s op uw iPhone automatisch kunt omzeilen voor onmiddellijke verificatie

Als je een hekel hebt aan het matchen van afbeeldingen, het typen van letters en cijfers, het oplossen van wiskundige problemen en het uit elkaar duwen van puzzelstukjes voor menselijke verificatie met CAPTCHA’s, zul je dol zijn op de nieuwste privacyfunctie van Apple voor apps en websites.

Doorgaans kunnen CAPTCHA’s een enorme nachtmerrie worden op mobiele apparaten. Ze worden door websites gebruikt voor beveiligingsdoeleinden, om bots te detecteren, actieve denial of service-aanvallen te voorkomen en anderszins hun servers te beschermen, maar uiteindelijk irriteren ze hun gebruikers.

• Dit vertraagt ​​de gebruiker door nog een stap toe te voegen om in te loggen of een taak te voltooien. Cloudflare schat dat het een gemiddelde gebruiker 32 seconden kost om een ​​CAPTCHA-test te voltooien.
• U kunt eindigen met slechte afbeeldingen die het moeilijk maken om boten, verkeerslichten, fietsen of iets anders te matchen.
• Woorden kunnen zo door elkaar worden gehaald dat het onmogelijk is om de juiste letter te kiezen.
• Dit werkt niet goed bij gebruikers met toegankelijkheidsproblemen.
• Mensen met kleurenblindheid kunnen bepaalde tekstkleuren mogelijk niet zien.
• Het weergeven van gegevens die nodig zijn voor de werking, verbruikt overtollige bandbreedte.
• Het kan uw IP-adres en andere persoonlijke gegevens volgen.

In de nieuwe iOS 16-update heeft Apple een nieuwe beveiligingsfunctie geïmplementeerd die de CAPTCHA-controle omzeilt. Dit wordt gedaan met behulp van iCloud en Private Access Tokens (PAT), die bevestigen dat uw apparaat HTTP-verzoeken verzendt. Als bonus zal het uw identiteit niet onthullen of persoonlijke gegevens zoals IP-adressen delen.

Om PAT op een website of applicatie te implementeren, moeten de servers de hostnaam en openbare sleutel hebben van een vertrouwde tokenuitgever, wat een content delivery network (CDN) kan zijn, zoals Cloudflare of Fastly, een webhostingprovider of een CAPTCHA-provider. Merkt snel op dat site-eigenaren PAT moeten inschakelen, maar voor Cloudflare-klanten gebeurt dit automatisch.

Deze informatie wordt vervolgens naar gebruikers verzonden in de vorm van een “PrivateToken” -oproep. Dit nieuwe HTTP-authenticatieschema maakt gebruik van blinde RSA-handtekeningen om cryptografisch aan de server te bevestigen dat uw apparaat de attestverificatie doorstaat.

Deze handtekeningen zijn “unlinkable”, wat betekent dat servers die tokens ontvangen alleen hun geldigheid kunnen verifiëren, maar geen client-identiteiten kunnen ontdekken of clients in de loop van de tijd kunnen herkennen.

Privétoegangstokens zijn niet alleen voor Apple-apparaten, ze maken deel uit van een bredere authenticatiestandaard genaamd Privacy Pass , die wordt ontwikkeld door de Internet Engineering Task Force (IETF), waartoe ook Apple en Google behoren. Momenteel zijn Cloudflare en Fastly de enige CDN’s waarmee Apple heeft gewerkt, maar het werkt samen met andere bedrijven om het op het web breed te laten adopteren.

Deze functie is standaard ingeschakeld, maar u kunt controleren of deze is ingeschakeld door naar Instellingen -> [uw naam] -> Wachtwoord en beveiliging -> Automatische verificatie te gaan. Deze wijziging verschijnt ook in iPadOS 16 voor iPad en macOS 13 Ventura voor Mac, die nog in bèta zijn. Het installatiepad is hetzelfde voor iOS en iPadOS, maar je moet naar Instellingen -> Apple ID -> Wachtwoord en beveiliging -> Automatische verificatie gaan in macOS 13.