谷歌reCaptcha驗證碼服務再次被攻破
頂象按:reCaptcha就像其名字一樣,彰顯著谷歌重新定義驗證碼服務的雄心壯志。不過世界上沒有不透風的牆,強大如谷歌如不進步則只能後退。本文介紹了谷歌reCaptcha驗證碼服務中“音訊驗證”選項被攻破的流程邏輯和一些細節,但其引領的創新軌跡追蹤類驗證(即其標誌性的“我不是機器人”勾選驗證碼)的攻破難度仍然很大。
文/Tom Spring
編譯/小象
原文地址/
據報導,來自美國馬里蘭大學的一個團隊設計了一款自動攻擊的程式,成功攻破了谷歌的reCaptcha驗證碼服務,準確率高達85%。
該團隊的研究人員將他們開發的這款程式命名為“unCaptcha”(“un”在英文中做字首表“否定”,此處有戲謔之意——譯註),可以攻破谷歌reCaptcha驗證碼服務中“語音驗證”的選項。
為了應對網上序號產生器等可以瞬間註冊成百上千垃圾賬號的機器指令碼,谷歌公司於2014年在旗下眾多公共服務中推出了名為“reCaptcha”的驗證碼服務。CAPTCHA即Completely Automated Public Turing test to tell Computers and HumansApart的縮寫,意為“全自動區分計算機和人類的公開圖靈測試”。而“RE-captcha”則是谷歌公司為自己研發的透過影像、音訊或文字來識別真實人類登入操作的驗證技術起的名字(“re”在英文中做字首表“再、又、重新”,谷歌公司藉此表達其重新定義驗證碼服務的雄心——譯註)。
“我們透過各個網站上超過450次測試來驗證unCaptcha的能力並且發現平均破解時間僅需5.42秒,透過率達85.15%”馬里蘭大學研究人員Kevin Bock、Daven Patel、George Hughey和Dave Levin在他們的報告中寫道。
unCaptcha的破解不是透過文字識別,而是利用了reCaptcha提供的語音驗證功能。馬里蘭的研究人員解釋稱:“一部分視覺障礙的使用者無法使用文字或影像驗證碼,所以催生了語音驗證。”
本次釋出的資訊中可以明確看出語音驗證方法還是存在比較明顯的漏洞,其攻破成本也並不是很高,加上成功率高,批次繞過是很有可能的。與之相對,谷歌標誌性的軌跡追蹤驗證碼“我不是機器人”勾選驗證的繞過成本仍然比較高,且成功率低,該項技術仍保持了較高的穩定性。 目前世界範圍內也鮮見提供軌跡追蹤技術商業應用驗證服務的安全廠家 。
該研究報告指出,unCaptcha整合了線上“語音-文字轉化”引擎和先進的音訊繪圖技術。首先,研究人員透過瀏覽器自動操作外掛選擇谷歌reCaptcha的“語音驗證”選項,然後會下載聲音檔案。接著,網上免費的“語音-文字轉化”服務將會對聲音檔案進行識別。
“對每一部分的音訊完成繪圖之後,我們會把識別結果整合成一個答案”,研究人員寫道,“當這樣一串候選字元拼接完成後,unCaptcha將答案有機地(透過每個字元間統一的時間隨機機制)鍵入填寫框並點選‘提交’鍵”。
谷歌的reCaptcha並不是第一次被攻破。今年三月份,East-Ee安全網站的研究人員詳細介紹了利用谷歌自己的網頁工具繞過谷歌驗證的方法。這款被稱作“ReBreakCaptcha(“再次攻破驗證碼——譯註”)”的工具透過一段能夠利用谷歌自己的應用程式介面捕捉reCaptcha語音驗證聲音檔案的指令碼來攻擊谷歌驗證服務,然後再透過“語音-文字轉換”技術生成文字答案並填寫如答案框。
此外,2016年亞洲黑帽子大會上哥倫比亞大學的一隊研究人員也發表了名為《我不是人類:破解谷歌reCaptcha驗證碼》的論文(“我不是機器人”是谷歌reCaptcha的一句經典——譯註),聲稱利用他們的自動識別技術,reCaptcha的影像驗證每次破解僅需19秒,成功率達70.78%。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69975717/viewspace-2714820/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 谷歌ReCaptcha系統被破解 機器語音驗證準確率高達85%谷歌APT
- 在國內使用Google驗證碼reCaptchaGoAPT
- reCAPTCHA系統被破!語音驗證準確度85%APT
- 安全服務商Cloudflare撰文解釋:我們為什麼要把reCAPTCHA換成圖形驗證碼?CloudAPT
- 驗證碼服務釋出上線
- SMSSDK驗證碼服務端校驗介面服務端
- Laravel 生產實踐:為個人網站配置谷歌 reCAPTCHA 身份驗證系統Laravel網站谷歌APT
- 簡訊驗證碼服務平臺哪個好?
- Jave Web阿里雲簡訊服務傳送驗證碼Web阿里
- 人機驗證reCAPTCHA v3使用完備說明APT
- 如何在Vue專案中引入騰訊驗證碼服務Vue
- Springboot透過谷歌Kaptcha 元件,生成圖形驗證碼Spring Boot谷歌APT元件
- 阿里雲簡訊服務的使用-----獲取簡訊驗證碼阿里
- 本是同根生,相煎何太急-用Google語音識別API破解reCaptcha驗證碼GoAPIAPT
- JavaWeb——驗證碼功能解決表單重複提交問題(使用谷歌驗證碼jar包為例)JavaWeb谷歌JAR
- 【仙山】flutter版谷歌身份驗證器Flutter谷歌
- 第一時間更新!網易易盾驗證碼服務支援微信PC端小程式無跳轉驗證
- 驗證碼原理及驗證
- 阿里雲簡訊服務實現網站手機簡訊驗證碼阿里網站
- springboot 專案使用阿里雲簡訊服務傳送手機驗證碼Spring Boot阿里
- 驗證碼---js重新整理驗證碼JS
- 用fluent-validator,進行Java服務端驗證Java服務端
- PHP (Laravel) 實現 iOS 內購服務端驗證PHPLaraveliOS服務端
- 網易易盾推出號碼驗證服務 助推產品提高轉化留存率
- 【JS 逆向百例】HN某服務網登入逆向,驗證碼形同虛設JS
- 華為帳號服務升級,提供通用簡訊驗證碼讀取能力
- 文字驗證碼被曝漏洞,淘寶、京東都中招!
- 【分散式限流】你被12306的驗證碼坑過麼?分散式
- 谷歌服務:Google Maps JavaScript API谷歌GoJavaScriptAPI
- 谷歌最新驗證系統又雙叒被「破解」了,這次是強化學習谷歌強化學習
- 人機介面測試在逐步被攻破
- 被解救的程式碼 - 程式碼即服務時代來了!
- JavaScript驗證碼生成和驗證效果JavaScript
- 符合 ISO 26262 標準的模型驗證諮詢服務模型
- 驗證碼機制之驗證碼重複使用
- 登入驗證碼生成kaptcha(輸入驗證碼)APT
- Laravel - 驗證碼Laravel
- Response驗證碼