谷歌ReCaptcha系統被破解 機器語音驗證準確率高達85%

美國馬里蘭大學的四位研究員開源了一個名為UnCaptcha的工具，能夠破解谷歌的驗證碼系統ReCaptcha，其進行語音驗證的準確率高達85%。與眾多驗證機制一樣，早期的ReCaptcha系統通過數字驗證碼進行識別，以此確保操作方是人類而非機器人。但是，2012年一個谷歌研究團隊幾乎百分之百破解了其文字驗證碼系統。於是谷歌在這之後的升級版當中加入了語音和影像驗證的方式。

如今，上述驗證方式再次遭遇巨大挑戰。“谷歌的ReCaptcha系統使用了一些高階的分析工具來判斷一個使用者到底是人還是機器人。他們使用了多種元素，包括cookie、解題的速度、滑鼠的移動以及解題的成功率。”

UnCaptcha工具測試介面

據該專案負責人稱：“ReCaptcha系統的語音識別體制由一長串數字讀音組成，每個字的語速、音調都不相同，甚至還會改變口音。為了解析這些數字，首先需要從網頁上將音訊檔案下載下來，再匯入到線上的語音識別工具中（比如IBM、谷歌雲、谷歌語音識別、Sphinx、Wit-AI、微軟Bing語音識別）進行識別，再將解析後的結果嵌入驗證框即可通過驗證。”

目前，UnCaptcha工具已經在著名的Reddit網站進行實驗。據悉，實驗者在進行使用者註冊那一步的時候終止了實驗，這也是為了不給該網站增添不必要的運營風險。

“實驗結果非常明顯，UnCaptcha在識別數字方面的準確率高達92%，整體語音識別準確率達到了85%。”該工具的發明者在一份宣告中稱：“這種工具能夠破解最新版的ReCaptcha，但這僅限於在自己網站上使用且僅用於教育目的。”

得到破解技術後，該負責人第一時間通知了谷歌並督促對現有驗證方式進行升級。目前，UnCaptcha工具已經開源，並被託管在GitHub上提供了安裝使用示例。

在GitHub上，吃瓜群眾們也針對此事展開討論。有網友稱：“此專案中的核心破解技巧使用到了各家的語音識別技術，這其中也包括谷歌，這讓人看起來多少有點‘搬起石頭砸自己腳’的意味。”

來源：雷鋒網

宣告：本網站所提供的資訊僅供參考之用，並不代表本網站贊同其觀點，也不代表本網站對其真實性負責。 

更多資訊：

• 看雪CTF.TSRC 2018 團隊賽 獲獎名單公示
  

• 看雪CTF.TSRC 2018 團隊賽 第十五題『 密碼風雲』 解題思路
  

• 許多最受歡迎的Android應用程式仍然未經授權向Facebook傳送資料
  

• 470餘萬條疑似12306使用者資料遭販賣 嫌疑人被刑拘