研究人员在2017年发现了一种攻击方法,可造成使用语音转文本服务的Google reCAPTCHA系统的音频版本失效。该攻击方法最近再次被复活了。
美国马里兰大学的研究人员在2017年证实,在线语音转文本服务可被用于自动通过reCAPTCHA v2音频验证,且准确率高。研究人员将该攻击方法命名为unCaptcha。
该攻击方法被披露后,Google对其reCAPTCHA系统做了一些修改,unCaptcha无法再起作用。然而,2019年1月,研究人员宣称,他们已经设法复活了该攻击方法。研究人员将该方法命名为unCaptcha2,在获得Google的许可后,公开了该方法的PoC代码。
当时,研究人员表示不会更新代码,所以该PoC可能在某个时候不会再起作用。
如同预期,该PoC不再有效,但是德国研究人员Nikolai Tschacher设法稍稍改动了unCaptcha2的PoC,使之能对reCAPTCHA v2的最新版本起作用。Tschacher发布了一段视频,显示bot程序如何利用Google自己的语音转文本API通过音频reCAPTCHA验证,准确率达97%。
Google在2018年引入reCAPTCHA v3,它通过在后台运行适应性风险分析,而不是显示挑战,优化了用户体验。但是Tschacher指出,在新的reCAPTCHA v3中,仍然将reCAPTCHA v2用作一种应急机制。
该研究人员已经公开了PoC代码,同时解释了他在unCaptcha3中相较于unCaptcha2做出的修改。
值得注意的是,其他人已经创建了免费的web浏览器扩展,通过使用reCAPTCHA方法按下按钮,帮助用户自动解决reCAPTCHA挑战。
作者:Eduard Kovacs
来源:Security Week
来源:freebuf.com 2021-01-05 16:44:44 by: 偶然路过的围观群众
请登录后发表评论
注册