Como ignorar automaticamente CAPTCHAs para aplicativos e sites no seu iPhone, iPad ou Mac

Se você odeia combinar imagens ou digitar letras para verificação humana de CAPTCHA, vai adorar as atualizações de software mais recentes da Apple para iOS, iPadOS e macOS.

Normalmente, os CAPTCHAs podem se tornar um grande pesadelo em dispositivos móveis. Eles são usados ​​por sites para fins de segurança, para detectar bots, impedir ataques ativos de negação de serviço e proteger seus servidores, mas acabam incomodando seus usuários.

• Isso desacelera o usuário adicionando outra etapa para fazer login ou concluir uma tarefa. A Cloudflare estima que um usuário médio leva 32 segundos para concluir um teste CAPTCHA.
• Você pode acabar com imagens ruins que dificultam a correspondência de barcos, semáforos, bicicletas ou qualquer outra coisa.
• As palavras podem ser misturadas de tal forma que é impossível escolher a letra certa.
• A renderização dos dados necessários para a operação consome largura de banda em excesso.
• Isso não funciona bem com usuários que têm problemas de acessibilidade.
• Ele pode rastrear seu endereço IP e outros dados pessoais.

Com as novas atualizações do iOS 16, iPadOS 16 e macOS 13 Ventura, a Apple implementou um novo recurso de segurança que permite ignorar a verificação CAPTCHA. Ele faz isso usando iCloud e tokens de acesso privado (PAT) para garantir que seu dispositivo esteja fazendo solicitações HTTP. Como bônus, não revelará sua identidade nem compartilhará dados pessoais, como endereços IP.

CAPTCHA no iOS 15 (à esquerda) e tokens de privacidade no iOS 16 (à direita). Imagem via Apple

Para implementar o PAT em um site ou aplicativo, seus servidores devem ter o nome do host e a chave pública de um emissor de token confiável, que pode ser uma rede de entrega de conteúdo (CDN), como Cloudflare ou Fastly, um provedor de hospedagem na web ou um provedor CAPTCHA. Fastly observa que os proprietários de sites precisam habilitar o PAT, mas para os clientes Cloudflare isso acontece automaticamente.

Essas informações são então enviadas aos usuários na forma de uma chamada “PrivateToken”. Esse novo esquema de autenticação HTTP usa assinaturas cegas RSA para confirmar criptograficamente ao servidor que seu dispositivo passa na verificação de atestado.

Essas assinaturas são “desvinculadas”, o que significa que os servidores que recebem tokens podem apenas verificar sua validade, mas não podem descobrir identidades de clientes ou reconhecer clientes ao longo do tempo.

Os tokens de acesso privado não são apenas para dispositivos Apple, pois fazem parte de um padrão de autenticação mais amplo chamado Privacy Pass , que está sendo desenvolvido pela Internet Engineering Task Force (IETF), que inclui Apple e Google. Atualmente, Cloudflare e Fastly são os únicos CDNs com os quais a Apple trabalhou, mas está trabalhando com outras empresas para trazê-lo para ampla adoção na web.

O software iOS 16, iPadOS 16 e macOS 13 da Apple está atualmente em versão beta, mas você pode ingressar na versão beta se quiser testar esse novo recurso – junto com vários outros novos recursos. Você pode encontrar bugs, diminuição da duração da bateria e outras falhas ao executar a versão beta, mas sempre pode fazer o downgrade, se necessário.

Esse recurso é ativado por padrão, mas você pode verificar novamente se está ativado. No iOS e iPadOS 16, vá para Configurações -> [seu nome] -> Senha e segurança -> Verificação automática. No macOS 13, vá para Configurações -> Apple ID -> Senha e segurança -> Verificação automática.