查看原文
其他

3年后准确率仍达97%:利用谷歌语音转文本 API 绕过reCAPTCHA

avie Lakshmanan 代码卫士 2022-06-21

 聚焦源代码安全,网罗国内外最新资讯!




三年前出现的一种攻击技术是,使用谷歌自身的语言转文本 API 绕过谷歌的音频 reCAPTCHA,目前其准确率仍然高达97%。




1月2日,安全研究员 Nikolai Tschacher 公开了 PoC。他指出,“攻击的想法很简单:抓取音频 reCAPTCHA 的 MP3 文件并将其提交给谷歌自己的语音转文本 API。谷歌返回正确答案的比例是97%。”

CAPTCHA 诞生于2014年,它是一种挑战-响应(challenge-response) 测试,旨在防御账户的自动创建和服务滥用,方法是让用户回答对于人类简单而对机器难得问题。

reCAPTCHA 是 CAPTCHA 技术的更流行版本,在2009年被谷歌收购。谷歌在2018年10月发布了第三版 reCAPTCHA。这个版本无需通过分数(0到1,基于访客在网站上的行为)的挑战对用户造成干扰,所有一切均无需用户交互。

2017年4月,马里兰大学的研究员公布了针对 reCAPTCHA 音频版本的相关研究成果 “unCaptcha”。鉴于可用性,它以音频挑战形式出现,使得视力不便的人群能够播放或下载音频样本,解决该问题。

要执行攻击,可使用 Selenium 等工具通过编程的方式识别出页面上的音频 payload,之后下载并交给在线音频转录服务如谷歌语音转文本 API,其结果最终用于破解音频 CAPTCHA。

攻击披露后,谷歌在2018年6月更新了 reCAPTCHA,改进了机器人检测并支持语音短语而非数字,但仍未能狙击攻击——因为研究人员发布的 “unCaptcha2” PoC 后,准确率甚至更高,达到91%(原先是85%),方法是使用“屏幕点击器移动到屏幕上的某些像素并向人类一样在页面上移动“。

Tschacher 尝试将 PoC 更新至最新状态并使其工作,从而很可能通过“更糟糕:reCAPTCHA v2 仍用于reCAPTCHA v3 中作为应变机制”来规避 reCAPTCHA v2 的音频版本。

由于数十万站点都在使用 reCAPTCHA 来检测可滥用流量和机器人账户创建的情况,因此该工具提醒人们它并非万全之策以及绕过可造成的重大后果。

2018年3月,谷歌解决了 reCAPTCHA 中的另外一个缺陷,该缺陷可使使用该技术的一款 Web 应用以不安全的方式构造 “/recaptcha/api/siteverify” 请求,且每次都能绕过防御措施。





推荐阅读
研究人员披露谷歌ReCaptcha v2绕过详情
谷歌推出 reCAPTCHA v3



原文链接

https://thehackernews.com/2021/01/google-speech-to-text-api-can-help.html


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存