- PVSM.RU - https://www.pvsm.ru -

unCAPTCHA: использование сервисов Google для обхода Google reCAPTCHA

image
 
unCAPTCHA – автоматизированная система, разработанная экспертами Мэрилендского университета, способная обойти reCAPTCHA от Google с точностью до 85 %. Им это удалось благодаря распознаванию аудио-версии подсказки для людей с ограниченными возможностями.

Метод использует уязвимость в звуковой версии reCAPTCHA — в ней произносится числовой код, который затем необходимо ввести в проверочное поле. Алгоритм применяет несколько сервисов, которые помогают определить числа — в том числе сервис Google Cloud Speech Recognition.

image

Исследователи опубликовали код своего проекта на GitHub [1]. В unCAPTCHA используются такие синтезаторы речи, как Bing Speech Recognition, IBM, Google Cloud, Google Speech Recognition, Sphinx и Wit-AI.

Принцип работы

Формат аудиокоманды представляет собой серию числе различной длины, произнесенных на разных скоростях, акцентах и через фоновый шум. Чтобы атаковать эту капчу, звуки индентифицируются идентифицируется и автоматически разбиваются по частям.

Каждый бит аудиосигнала каждого числа загружается в 6 различных бесплатных онлайн-сервисов транскрипции аудио (IBM, Google Cloud, Google Recognition, Sphinx, Wit-AI, Bing Speech Recognition), и эти результаты агрегируются. После объединения наиборлее вероятная строка выявляется эвристически. После
этого числа последовательно набираются в капчу. При тестирования мы набблюдалась точность от 92% для отдельных чисел и до 85% в распозновании аудиокоманды в полном объеме.

unCAPTCHA является не первой системой подобного рода. В марте текущего года была информация об атаке с использованием ReBreakCaptcha [2], системы, практически идентичной unCAPTCHA.

Видео-демонстрация работы

Тесты показывают, что unCAPTCHA может решить 450 задач reCAPTCHA с точностью 85,15% за 5,42 секунды. Это меньше, чем требуется человеку для прослушивания одного звукового файла reCAPTCHA.

unCAPTCHA

Код проекта написан на python с использованием популярной библиотеки selenium и FFmpeg — набором библиотек с открытым исходным кодом, которые позволяют записывать, конвертировать и передавать цифровые аудио-сигналы.

Исходный код опубликован на github [1].
По ссылке [3] доступно исследование от создателей утилиты.

Разработчики уведомили о своем исследовании специалистов Google, в результате чего уже добавлены новые меры защиты от подобных атак.

Автор: LukaSafonov

Источник [4]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/267198

Ссылки в тексте:

[1] GitHub: https://github.com/ecthros/uncaptcha

[2] ReBreakCaptcha: https://github.com/eastee/rebreakcaptcha

[3] ссылке: https://www.usenix.org/system/files/conference/woot17/woot17-paper-bock.pdf

[4] Источник: https://habrahabr.ru/post/341322/