API преобразования речи в текст Google позволяет хакерам обойти Google reCAPTCHA

Преобразование речи в текст Google позволяет хакерам обойти Google reCAPTCHA. Фото: Pixabay

Исследователь Николай Чахер обнародовал свои выводы в доказательстве концепции (PoC) атаки 2 января.

«Идея атаки очень проста: вы берете MP3-файл с аудио reCAPTCHA и отправляете его в собственный API преобразования речи в текст Google», — пишет Чахер в своей статье.— «Google вернёт правильный ответ более чем в 97% всех случаев».

Представленный в 2014 году, CAPTCHA (или полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры и людей друг от друга) представляет собой тип теста «запрос-ответ», предназначенный для защиты от автоматического создания учётных записей и злоупотреблений службами, предлагая пользователям вопрос, который легко решить. но сложно для компьютеров.

Читайте в тему:

• Google отключает «Виртуальный принтер»
• Google начнёт показывать короткие видео из Instagram и TikTok
• Google нашла способ улучшить стабильность Chrome

reCAPTCHA - это популярная версия технологии CAPTCHA, которую Google приобрела в 2009 году. В октябре 2018 года поисковый гигант выпустил третью версию reCAPTCHA. Она полностью устраняет необходимость отвлекать пользователей проблемами в пользу оценки (от 0 до 1). который возвращается на основе поведения посетителя на веб-сайте — и все это без взаимодействия с пользователем.

Вся атака основана на исследовании unCaptcha , опубликованном исследователями Университета Мэриленда в апреле 2017 года и нацеленном на аудиоверсию reCAPTCHA. Предлагаемый по причинам доступности, он представляет собой проблему со звуком, позволяя людям с потерей зрения воспроизвести или загрузить образец звука и решить вопрос.

Для проведения атаки полезная звуковая нагрузка программно идентифицируется на странице с помощью таких инструментов, как Selenium, затем загружается и загружается в онлайн-службу транскрипции звука, такую ​​как Google Speech-to-Text API, результаты которой в конечном итоге используются для предотвращения аудио CAPTCHA.

После раскрытия информации об атаке Google обновил reCAPTCHA в июне 2018 года, добавив улучшенное обнаружение ботов и поддержку разговорных фраз, а не цифр, но этого недостаточно для предотвращения атаки — исследователи выпустили unCaptcha2 как PoC с ещё большей точностью (91%, когда по сравнению с 85% unCaptcha) с помощью «экранного кликера для перехода к определённым пикселям на экране и перемещения по странице, как человек».

«Ещё хуже: reCAPTCHA v2 по-прежнему используется в новой reCAPTCHA v3 как резервным механизмом», — отметил Чахер.

Поскольку reCAPTCHA используется сотнями тысяч сайтов для обнаружения злонамеренного трафика и создания учётных записей ботов, эта атака является напоминанием о том, что она не всегда надёжна и о серьёзных последствиях обхода может привести.

Google исправил отдельный недостаток в reCAPTCHA, который позволял веб-приложению, использующему эту технологию, обрабатывать запрос на «/ recaptcha / api / siteverify» небезопасным образом и каждый раз обходить защиту.

Как сообщал Startpack, ранее в Chrome пообещали, что адресная строка Google Chrome станет быстрее и безопаснее.

Startpack также подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников.