Wie Sie mit iOS 16 und macOS 13 Webseiten-Captchas umgehen

Seit iOS 16, iPadOS 16 und macOS Ventura können die Nutzer und Nutzerinnen die Captcha-Angaben in den meisten Fällen umgehen. Apple hat stattdessen eine neue Verifikationsmethode, die komplett im Hintergrund abläuft, und keine wichtigen Daten an Server-Betreiber oder Zertifikat-Ersteller weitergibt.

In einem Video von der WWDC 2022 erklärt Apples Entwickler Tommy Pauly Hintergründe der Captcha-Anwendung und wie Apple dies zu ersetzen gedenkt.

Captcha (Akronym für “Completely automated public Turing test to tell computers and humans apart”) ist seit Langem im Netz verbreitet, um legitime Nutzer von Angreifern und Bots zu unterscheiden. Während sich die Seitenbetreiber durch Captcha absichern, gestaltet sich der Anmeldeprozess für Endnutzer durch das ständige Auswählen von Ampeln, Zebrastreifen, Schiffen, Motorrädern oder Hydranten als recht langwierig. Nutzer mit manchen Behinderungen sind gar ausgeschlossen.

Wie Apples automatische Verifizierung ohne Captchas funktioniert

Apples Lösung dafür sind “Private Access Tokens”, die Captchas zu umgehen. Die Prämisse dabei ist, dass die legitimen Nutzer bewiesen haben, dass sie keine Roboter sind, noch bevor sie eine bestimmte Seite aufsuchen. Als Grundlage für ein menschliches Verhalten dienen ein Gerät mit der verifizierten Apple-ID, oder eine gestartete App, deren Code bereits signiert ist, oder sie haben ihr Gerät zuvor mit dem Passwort, der Touch-ID oder der Face-ID entsperrt. Private Access Tokens sind gewissermaßen ein Echtheitszertifikat, die gegenüber dem Webseiten-Betreiber beweisen, dass der Besucher oder die Besucherin ein Mensch ist, ohne die Identität dieses Menschen zu verraten. 

Um dieses Zertifikat herzustellen und zu verifizieren, schalten sich zwischen dem Client, also dem Besucher und dem Server noch zwei zusätzliche Instanzen ein. Der sogenannte iCloud-Attester bearbeitet die Anfragen der Endnutzer für ein neues Token. Anhand der gültigen Schlüssel in Secure Enclave des Geräts, und/oder anhand bestimmten Verhaltensmuster stellt iCloud-Attester fest, dass die Anfrage von einem Menschen kommt.

Gleichzeitig bekommt er aber nicht mit, für welchen Server genau die Anfrage bzw. der Token ausgestellt werden soll. Wird der Client, also der Nutzer durch den iCloud-Attester validiert, schickt der Attester eine weitere Anfrage an den Zertifikat-Hersteller für einen neuen Token. Der Zertifikat-Hersteller erhält keine Informationen zur Person des Nutzers, da es aber dem Attester vertraut, wird ein neuer einmaliger Token erstellt.

Diese Bestätigungsdatei wird durch iCloud-Attester dem Client weitergegeben, dieser kann sich wiederum gegenüber dem Server-Anbieter ausweisen. Der Service-Provider kann anhand des öffentlichen Schlüssels des Zertifikat-Herstellers überprüfen, dass die Bestätigungsdatei gültig ist, das heißt, dass der Besucher ein Mensch ist, hat jedoch keine näheren Informationen wie IP-Adressen zur Person, kann aber den Zugang zu eigenen Inhalten gewähren. 

Was nach einem komplizierten Konstrukt aussieht, funktioniert zumindest in Apples Demo recht schnell, auf jeden Fall schneller als eine Captcha-Eingabe. Beim iOS-16-Start im letzten Herbst waren schon Cloudflare und Fastly als Zertifikat-Hersteller aktiv, weitere Anbieter können sich unter register.apple.com dafür anmelden. 

Private Access Tokens basieren auf einem öffentlichen Protokoll von IETF  (Internet Engineering Task Force), da in der Arbeitsgruppe neben Apple, Cloudflare und Fastly auch Google-Mitarbeiter teilnehmen, kann man vermuten, dass die Captcha-Umgehung ebenfalls in Android implementiert (wird).