API преобразования речи в текст Google позволяет хакерам обойти Google reCAPTCHA
Преобразование речи в текст Google позволяет хакерам обойти Google reCAPTCHA. Фото: Pixabay
Исследователь Николай Чахер обнародовал свои выводы в доказательстве концепции (PoC) атаки 2 января.
«Идея атаки очень проста: вы берете MP3-файл с аудио reCAPTCHA и отправляете его в собственный API преобразования речи в текст Google», — пишет Чахер в своей статье.— «Google вернёт правильный ответ более чем в 97% всех случаев».
Представленный в 2014 году, CAPTCHA (или полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры и людей друг от друга) представляет собой тип теста «запрос-ответ», предназначенный для защиты от автоматического создания учётных записей и злоупотреблений службами, предлагая пользователям вопрос, который легко решить. но сложно для компьютеров.
Читайте в тему:
- Google отключает «Виртуальный принтер»
- Google начнёт показывать короткие видео из Instagram и TikTok
- Google нашла способ улучшить стабильность Chrome
reCAPTCHA - это популярная версия технологии CAPTCHA, которую Google приобрела в 2009 году. В октябре 2018 года поисковый гигант выпустил третью версию reCAPTCHA. Она полностью устраняет необходимость отвлекать пользователей проблемами в пользу оценки (от 0 до 1). который возвращается на основе поведения посетителя на веб-сайте — и все это без взаимодействия с пользователем.
Вся атака основана на исследовании unCaptcha , опубликованном исследователями Университета Мэриленда в апреле 2017 года и нацеленном на аудиоверсию reCAPTCHA. Предлагаемый по причинам доступности, он представляет собой проблему со звуком, позволяя людям с потерей зрения воспроизвести или загрузить образец звука и решить вопрос.
Для проведения атаки полезная звуковая нагрузка программно идентифицируется на странице с помощью таких инструментов, как Selenium, затем загружается и загружается в онлайн-службу транскрипции звука, такую как Google Speech-to-Text API, результаты которой в конечном итоге используются для предотвращения аудио CAPTCHA.
После раскрытия информации об атаке Google обновил reCAPTCHA в июне 2018 года, добавив улучшенное обнаружение ботов и поддержку разговорных фраз, а не цифр, но этого недостаточно для предотвращения атаки — исследователи выпустили unCaptcha2 как PoC с ещё большей точностью (91%, когда по сравнению с 85% unCaptcha) с помощью «экранного кликера для перехода к определённым пикселям на экране и перемещения по странице, как человек».
«Ещё хуже: reCAPTCHA v2 по-прежнему используется в новой reCAPTCHA v3 как резервным механизмом», — отметил Чахер.
Поскольку reCAPTCHA используется сотнями тысяч сайтов для обнаружения злонамеренного трафика и создания учётных записей ботов, эта атака является напоминанием о том, что она не всегда надёжна и о серьёзных последствиях обхода может привести.
Google исправил отдельный недостаток в reCAPTCHA, который позволял веб-приложению, использующему эту технологию, обрабатывать запрос на «/ recaptcha / api / siteverify» небезопасным образом и каждый раз обходить защиту.
Как сообщал Startpack, ранее в Chrome пообещали, что адресная строка Google Chrome станет быстрее и безопаснее.
Startpack также подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников.
Комментариев пока не было