據(jù)報道,來自美國馬里蘭大學的一個團隊設(shè)計了一款自動攻擊的程序,成功攻破了谷歌的reCaptcha驗證碼服務(wù),準確率高達85%。
該團隊的研究人員將他們開發(fā)的這款程序命名為“unCaptcha”(“un”在英文中做前綴表“否定”,此處有戲謔之意——譯注),可以攻破谷歌reCaptcha驗證碼服務(wù)中的“語音驗證”選項。
為了應(yīng)對網(wǎng)上注冊機等可以瞬間注冊成百上千垃圾賬號的機器腳本,谷歌公司于2014年在旗下眾多公共服務(wù)中推出了名為“reCaptcha”的驗證碼服務(wù)。CAPTCHA即Completely Automated Public Turing test to tell Computers and HumansApart的縮寫,意為“全自動區(qū)分計算機和人類的公開圖靈測試”。
而“RE-captcha”則是谷歌公司為自己研發(fā)的通過圖像、音頻或文本來識別真實人類登錄操作的驗證技術(shù)起的名字。(“re”在英文中做前綴表“再、又、重新”,谷歌公司借此表達其重新定義驗證碼服務(wù)的雄心——譯注)
“我們通過各個網(wǎng)站上超過450次測試來驗證unCaptcha的能力并且發(fā)現(xiàn)平均破解時間僅需5.42秒,通過率達85.15%”。馬里蘭大學研究人員Kevin Bock、Daven Patel、George Hughey和Dave Levin在他們的報告中寫道。
unCaptcha的破解不是通過文本識別,而是利用了reCaptcha提供的語音驗證功能。馬里蘭的研究人員解釋稱:“一部分視覺障礙的用戶無法使用文字或圖像驗證碼,所以催生了語音驗證。”
本次發(fā)布的信息中可以明確看出語音驗證方法還是存在比較明顯的漏洞,其攻破成本也并不是很高,加上成功率高,批量繞過是很有可能的。與之相對,谷歌標志性的軌跡追蹤驗證碼“我不是機器人”勾選驗證的繞過成本仍然比較高,且成功率低,該項技術(shù)仍保持了較高的穩(wěn)定性。
目前世界范圍內(nèi)也鮮見提供軌跡追蹤技術(shù)商業(yè)應(yīng)用驗證服務(wù)的安全廠家 。國內(nèi)主流驗證碼如頂象的無感驗證是通過收集用戶的行為以及環(huán)境信息,結(jié)合模型和風控分析來區(qū)分人機。
該研究報告指出,unCaptcha集成了在線“語音-文字轉(zhuǎn)化”引擎和先進的音頻繪圖技術(shù)。首先,研究人員通過瀏覽器自動操作插件選擇谷歌reCaptcha的“語音驗證”選項,然后會下載聲音文件。接著,網(wǎng)上免費的“語音-文字轉(zhuǎn)化”服務(wù)將會對聲音文件進行識別。
“對每一部分的音頻完成繪圖之后,我們會把識別結(jié)果整合成一個答案”,研究人員寫道,“當這樣一串候選字符拼接完成后,unCaptcha將答案有機地(通過每個字符間統(tǒng)一的時間隨機機制)鍵入填寫框并點擊‘提交’鍵”。
谷歌的reCaptcha并不是第一次被攻破。今年三月份,East-Ee安全網(wǎng)站的研究人員詳細介紹了利用谷歌自己的網(wǎng)頁工具繞過谷歌驗證的方法。這款被稱作“ReBreakCaptcha(“再次攻破驗證碼——譯注”)”的工具通過一段能夠利用谷歌自己的應(yīng)用程序接口捕捉reCaptcha語音驗證聲音文件的腳本來攻擊谷歌驗證服務(wù),然后再通過“語音-文字轉(zhuǎn)換”技術(shù)生成文本答案并填寫如答案框。
此外,2016年亞洲黑帽子大會上哥倫比亞大學的一隊研究人員也發(fā)表了名為《我不是人類:破解谷歌reCaptcha驗證碼》的論文(“我不是機器人”是谷歌reCaptcha的一句經(jīng)典——譯注),聲稱利用他們的自動識別技術(shù),reCaptcha的圖像驗證每次破解僅需19秒,成功率達70.78%。
作者:頂象