С момента появления ReCaptcha. этих раздражающих небольших тестов «Я не робот», используемых веб-сайтами для отсеивания ботов, - эксперты по безопасности и исследователи искали способы обойти их. Некоторые пытались сломать их с помощью поиска по reverse-изображению, Deep Learning и «экспериментальных данных по нейробиологии».
Теперь исследователи из Университета Мэриленда утверждают, что их метод CAPTCHA-одурачивания, unCaptcha, может обмануть Google reCaptcha, одну из самых популярных систем CAPTCHA, которая в настоящее время используется сотнями тысяч веб-сайтов, с вероятностью успеха 90 процентов. Чтобы досыпать соли на рану, следует заметить, UnCaptcha обманывает Google reCaptcha, используя собственный сервис Google для преобразования текста в текст.
Исследователи первоначально разработали UnCaptcha в 2017 году, которая использует собственный бесплатный сервис преобразования речи в текст, чтобы обманом заставить систему думать, что робот - это человек. Согласно их статье, UnCaptcha загружает звуковую капчу, сегментирует аудио на отдельные аудиоклипы с цифрами, загружает сегменты в несколько других служб преобразования речи в текст (включая Google), а затем преобразует ответы этих служб в цифры. После анализа решается какой вывод из речи в текст является наиболее точным, и загружает ответ в поле CAPTCHA. Этот старый метод выдавал 85% успеха.
После выпуска этой версии unCaptcha Google исправил некоторые лазейки, которые заставляли его работать, включая лучшее обнаружение автоматизации браузера и переключение на устные фразы, а не цифры. Исследователи утверждают, что их новый метод, обновленный в июне, обходит эти улучшения и является еще более точным, чем раньше, на 90 процентов.
Согласно репозиторию проекта на GitHub, Google знает об этом новом взломе и не беспокоится. «Мы связывались с командой ReCaptcha более шести месяцев, и они полностью осведомлены об этой атаке», - пишут исследователи. «Команда позволила нам выпустить код, несмотря на его текущий успех».