研究人員輕鬆破解reCAPTCHA v2語音驗證

繼美國馬里蘭大學研究團隊發布unCAPTCHA 2.0,能破解Google reCAPTCHA v2專供盲人使用的語音驗證後,一名電腦科學研究人員以unCAPTCHA 2.0研究為基礎,利用Google的Speech-to-Text API,再度破解了reCAPTCHA v2的語音驗證

來自美國馬裡蘭大學的研究團隊在2019年的1月釋出unCAPTCHA 2.0,以破解Google reCAPTCHA v2專供盲人使用的語音驗證,即便Google已著手修補,但近日一名29歲的電腦科學研究人員Nikolai Tschacher ,則以unCAPTCHA 2.0為基礎,並利用Google自家的Speech-to-Text API,再度破解了reCAPTCHA v2的語音驗證,同時也相信該開採程式也適用於reCAPTCHA v3,且成功機率高達97%。

CAPTCHA的全名為「全自動電腦及人類圖形鑑別測試系統」(Completely Automated Public Turing test to tell Computers and Humans Apart),可透過圖像、文字或語音來驗證來者是人類或機器人,Google於2009年買下專門提供CAPTCHA圖像驗證機制的reCAPTCHA後,即不斷強化reCAPTCHA的能力。在reCAPTCHA v1時代,使用者仍必須辨識並輸入圖像中扭曲的文字,於2014年推出的reCAPTCHA v2,則已進展到只需勾選「我不是機器人」(I’m not a robot)就能辨識是人類或機器人,讓reCAPTCHA挑戰退居第二線,於2018年發表的reCAPTCHA v3則是在背景執行風險分析,只在發現可疑流量時通知網站,又被稱為隱形reCAPTCHA技術。

當初馬裡蘭團隊破解reCAPTCHA v2語音驗證的作法,是把該機制所產生的語音檔上傳到包括Google Speech-to-Text在內的各種語音轉文字等服務上,找出最佳解答再回傳答案,成功機率高達90%。

之後Google著手修補了該漏洞,移除了語音下載選項,而Tschacher則重新透過開發者控制台找到了語音下載連結,同時隨機化滑鼠的移動,更只透過Google自家的Speech-to-Text API來翻譯其語音挑戰,結果成功機率高達97%。

Tschacher撰寫了一個機器人程式來破解reCAPTCHA v2,也說reCAPTCHA v3是奠基在reCAPTCHA v2上,因此相信該程式也適用於reCAPTCHA v3,不過,他認為Google應該會限制執行語音驗證的數量,而使得此一作法無法大量執行。

外界則預期Google應該很會就會修補該漏洞,以讓此一概念性驗證程式失效。

向上滑動