- PVSM.RU - https://www.pvsm.ru -
unCAPTCHA – автоматизированная система, разработанная экспертами Мэрилендского университета, способная обойти reCAPTCHA от Google с точностью до 85 %. Им это удалось благодаря распознаванию аудио-версии подсказки для людей с ограниченными возможностями.
Метод использует уязвимость в звуковой версии reCAPTCHA — в ней произносится числовой код, который затем необходимо ввести в проверочное поле. Алгоритм применяет несколько сервисов, которые помогают определить числа — в том числе сервис Google Cloud Speech Recognition.
Исследователи опубликовали код своего проекта на GitHub [1]. В unCAPTCHA используются такие синтезаторы речи, как Bing Speech Recognition, IBM, Google Cloud, Google Speech Recognition, Sphinx и Wit-AI.
Формат аудиокоманды представляет собой серию числе различной длины, произнесенных на разных скоростях, акцентах и через фоновый шум. Чтобы атаковать эту капчу, звуки индентифицируются идентифицируется и автоматически разбиваются по частям.
Каждый бит аудиосигнала каждого числа загружается в 6 различных бесплатных онлайн-сервисов транскрипции аудио (IBM, Google Cloud, Google Recognition, Sphinx, Wit-AI, Bing Speech Recognition), и эти результаты агрегируются. После объединения наиборлее вероятная строка выявляется эвристически. После
этого числа последовательно набираются в капчу. При тестирования мы набблюдалась точность от 92% для отдельных чисел и до 85% в распозновании аудиокоманды в полном объеме.
unCAPTCHA является не первой системой подобного рода. В марте текущего года была информация об атаке с использованием ReBreakCaptcha [2], системы, практически идентичной unCAPTCHA.
Тесты показывают, что unCAPTCHA может решить 450 задач reCAPTCHA с точностью 85,15% за 5,42 секунды. Это меньше, чем требуется человеку для прослушивания одного звукового файла reCAPTCHA.
Код проекта написан на python с использованием популярной библиотеки selenium и FFmpeg — набором библиотек с открытым исходным кодом, которые позволяют записывать, конвертировать и передавать цифровые аудио-сигналы.
Исходный код опубликован на github [1].
По ссылке [3] доступно исследование от создателей утилиты.
Разработчики уведомили о своем исследовании специалистов Google, в результате чего уже добавлены новые меры защиты от подобных атак.
Автор: LukaSafonov
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/267198
Ссылки в тексте:
[1] GitHub: https://github.com/ecthros/uncaptcha
[2] ReBreakCaptcha: https://github.com/eastee/rebreakcaptcha
[3] ссылке: https://www.usenix.org/system/files/conference/woot17/woot17-paper-bock.pdf
[4] Источник: https://habrahabr.ru/post/341322/
Нажмите здесь для печати.