مشخص شده که یک روش حمله‌ی سه ساله برای دور زدن صوتی reCAPTCHA گوگل با استفاده از API تبدیل گفتار به متن هنوز با دقت ۹۷٪ کار می‌کند.
محقق نیکولای Tschacher یافته‌های خود را در اثبات (PoC) حمله در ۲ ژانویه فاش کرد.
Tschacher در یک مقاله نوشت: ایده حمله بسیار ساده است: شما فایل MP3 reCAPTCHA صوتی را می‌گیرید و آن را به API گفتار به متن خود Google ارسال می‌کنید.Google در بیش از ۹۷٪ موارد پاسخ صحیح را بر می‌گرداند.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: google.jpg
مشاهده: 13
حجم: 22.4 کیلو بایت

reCAPTCHA یک نسخه محبوب از فناوری CAPTCHA است که در سال ۲۰۰۹ توسط گوگل خریداری شد. این غول جستجو سومین نسخه reCAPTCHA را در اکتبر ۲۰۱۸ منتشر کرد.

کل این حمله به تحقیق موسوم به “unCaptcha” وابسته است که توسط محققان دانشگاه مریلند در آوریل ۲۰۱۷ با هدف هدف قرار دادن نسخه صوتی reCAPTCHA منتشر شده است.
برای انجام حمله Payload صوتی با استفاده از ابزارهایی مانند سلنیوم به صورت برنامه‌ریزی شده در صفحه شناسایی می‌شود، سپس در یک سرویس صوتی آنلاین مانند Google Speech-to-Text API بارگیری و پخش می‌شود که در نهایت نتایج آن برای شکست نسخه صوتی CAPTCHA استفاده می‌شود.

پس از افشای حمله گوگل reCAPTCHA را در ژوئن ۲۰۱۸ با بهبود ربات و پشتیبانی از عبارات گفتاری به جای رقم بهبود بخشید، اما برای خنثی کردن حمله کافی نبود، سپس محققان “unCaptcha2” را به عنوان PoC با دقت حتی بهتر (۹۱٪ در مقایسه با ۸۵٪ unCaptcha) با استفاده از “screen clicker to move to certain pixels on the screen and move around the page like a human.” را معرفی کردند.

تلاش Tschacher تلاشی است برای به روز نگه داشتن PoC و کار کردن، بنابراین امکان دور زدن نسخه صوتی reCAPTCHA v2 با استفاده از یک ربات برای شبیه سازی کل مراحل و شکست آن را فراهم می‌کند.
این محقق خاطرنشان کرد: مورد بدتر اینکه از reCAPTCHA v2 هنوز در reCAPTCHA v3 به عنوان مکانیزم جایگزین استفاده می‌شود.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

56

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *