顶象 · 2020年08月26日

谷歌reCaptcha验证码服务再次被攻破

undefined
顶象按:reCaptcha就像其名字一样,彰显着谷歌重新定义验证码服务的雄心壮志。不过世界上没有不透风的墙,强大如谷歌如不进步则只能后退。本文介绍了谷歌reCaptcha验证码服务中“音频验证”选项被攻破的流程逻辑和一些细节,但其引领的创新轨迹追踪类验证(即其标志性的“我不是机器人”勾选验证码)的攻破难度仍然很大。

文/Tom Spring
编译/小象
原文地址/https://threatpost.com/googles-recaptcha-cracked-again/128690/

据报道,来自美国马里兰大学的一个团队设计了一款自动攻击的程序,成功攻破了谷歌的reCaptcha验证码服务,准确率高达85%。

该团队的研究人员将他们开发的这款程序命名为“unCaptcha”(“un”在英文中做前缀表“否定”,此处有戏谑之意——译注),可以攻破谷歌reCaptcha验证码服务中“语音验证”的选项。

为了应对网上注册机等可以瞬间注册成百上千垃圾账号的机器脚本,谷歌公司于2014年在旗下众多公共服务中推出了名为“reCaptcha”的验证码服务。CAPTCHA即Completely Automated Public Turing test to tell Computers and HumansApart的缩写,意为“全自动区分计算机和人类的公开图灵测试”。而“RE-captcha”则是谷歌公司为自己研发的通过图像、音频或文本来识别真实人类登录操作的验证技术起的名字(“re”在英文中做前缀表“再、又、重新”,谷歌公司借此表达其重新定义验证码服务的雄心——译注)。

“我们通过各个网站上超过450次测试来验证unCaptcha的能力并且发现平均破解时间仅需5.42秒,通过率达85.15%”马里兰大学研究人员Kevin Bock、Daven Patel、George Hughey和Dave Levin在他们的报告中写道。

unCaptcha的破解不是通过文本识别,而是利用了reCaptcha提供的语音验证功能。马里兰的研究人员解释称:“一部分视觉障碍的用户无法使用文字或图像验证码,所以催生了语音验证。”

本次发布的信息中可以明确看出语音验证方法还是存在比较明显的漏洞,其攻破成本也并不是很高,加上成功率高,批量绕过是很有可能的。与之相对,谷歌标志性的轨迹追踪验证码“我不是机器人”勾选验证的绕过成本仍然比较高,且成功率低,该项技术仍保持了较高的稳定性。 目前世界范围内也鲜见提供轨迹追踪技术商业应用验证服务的安全厂家 。国内主流验证码如顶象的无感验证是通过收集用户的行为以及环境信息,结合模型和风控分析来区分人机。  

该研究报告指出,unCaptcha集成了在线“语音-文字转化”引擎和先进的音频绘图技术。首先,研究人员通过浏览器自动操作插件选择谷歌reCaptcha的“语音验证”选项,然后会下载声音文件。接着,网上免费的“语音-文字转化”服务将会对声音文件进行识别。

“对每一部分的音频完成绘图之后,我们会把识别结果整合成一个答案”,研究人员写道,“当这样一串候选字符拼接完成后,unCaptcha将答案有机地(通过每个字符间统一的时间随机机制)键入填写框并点击‘提交’键”。

undefined
谷歌的reCaptcha并不是第一次被攻破。今年三月份,East-Ee安全网站的研究人员详细介绍了利用谷歌自己的网页工具绕过谷歌验证的方法。这款被称作“ReBreakCaptcha(“再次攻破验证码——译注”)”的工具通过一段能够利用谷歌自己的应用程序接口捕捉reCaptcha语音验证声音文件的脚本来攻击谷歌验证服务,然后再通过“语音-文字转换”技术生成文本答案并填写如答案框。

此外,2016年亚洲黑帽子大会上哥伦比亚大学的一队研究人员也发表了名为《我不是人类:破解谷歌reCaptcha验证码》的论文(“我不是机器人”是谷歌reCaptcha的一句经典——译注),声称利用他们的自动识别技术,reCaptcha的图像验证每次破解仅需19秒,成功率达70.78%。

推荐阅读
关注数
2
内容数
29
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息