谷歌reCaptcha驗證碼服務再次被攻破

頂象按：reCaptcha就像其名字一樣，彰顯著谷歌重新定義驗證碼服務的雄心壯志。不過世界上沒有不透風的牆，強大如谷歌如不進步則只能後退。本文介紹了谷歌reCaptcha驗證碼服務中“音訊驗證”選項被攻破的流程邏輯和一些細節，但其引領的創新軌跡追蹤類驗證（即其標誌性的“我不是機器人”勾選驗證碼）的攻破難度仍然很大。

文/Tom Spring
編譯/小象
原文地址/

據報導，來自美國馬里蘭大學的一個團隊設計了一款自動攻擊的程式，成功攻破了谷歌的reCaptcha驗證碼服務，準確率高達85%。

該團隊的研究人員將他們開發的這款程式命名為“unCaptcha”（“un”在英文中做字首表“否定”，此處有戲謔之意——譯註），可以攻破谷歌reCaptcha驗證碼服務中“語音驗證”的選項。

為了應對網上序號產生器等可以瞬間註冊成百上千垃圾賬號的機器指令碼，谷歌公司於2014年在旗下眾多公共服務中推出了名為“reCaptcha”的驗證碼服務。CAPTCHA即Completely Automated Public Turing test to tell Computers and HumansApart的縮寫，意為“全自動區分計算機和人類的公開圖靈測試”。而“RE-captcha”則是谷歌公司為自己研發的透過影像、音訊或文字來識別真實人類登入操作的驗證技術起的名字（“re”在英文中做字首表“再、又、重新”，谷歌公司藉此表達其重新定義驗證碼服務的雄心——譯註）。

“我們透過各個網站上超過450次測試來驗證unCaptcha的能力並且發現平均破解時間僅需5.42秒，透過率達85.15%”馬里蘭大學研究人員Kevin Bock、Daven Patel、George Hughey和Dave Levin在他們的報告中寫道。

unCaptcha的破解不是透過文字識別，而是利用了reCaptcha提供的語音驗證功能。馬里蘭的研究人員解釋稱：“一部分視覺障礙的使用者無法使用文字或影像驗證碼，所以催生了語音驗證。”

本次釋出的資訊中可以明確看出語音驗證方法還是存在比較明顯的漏洞，其攻破成本也並不是很高，加上成功率高，批次繞過是很有可能的。與之相對，谷歌標誌性的軌跡追蹤驗證碼“我不是機器人”勾選驗證的繞過成本仍然比較高，且成功率低，該項技術仍保持了較高的穩定性。 目前世界範圍內也鮮見提供軌跡追蹤技術商業應用驗證服務的安全廠家 。   

該研究報告指出，unCaptcha整合了線上“語音-文字轉化”引擎和先進的音訊繪圖技術。首先，研究人員透過瀏覽器自動操作外掛選擇谷歌reCaptcha的“語音驗證”選項，然後會下載聲音檔案。接著，網上免費的“語音-文字轉化”服務將會對聲音檔案進行識別。

“對每一部分的音訊完成繪圖之後，我們會把識別結果整合成一個答案”，研究人員寫道，“當這樣一串候選字元拼接完成後，unCaptcha將答案有機地（透過每個字元間統一的時間隨機機制）鍵入填寫框並點選‘提交’鍵”。

谷歌的reCaptcha並不是第一次被攻破。今年三月份，East-Ee安全網站的研究人員詳細介紹了利用谷歌自己的網頁工具繞過谷歌驗證的方法。這款被稱作“ReBreakCaptcha（“再次攻破驗證碼——譯註”）”的工具透過一段能夠利用谷歌自己的應用程式介面捕捉reCaptcha語音驗證聲音檔案的指令碼來攻擊谷歌驗證服務，然後再透過“語音-文字轉換”技術生成文字答案並填寫如答案框。

此外，2016年亞洲黑帽子大會上哥倫比亞大學的一隊研究人員也發表了名為《我不是人類：破解谷歌reCaptcha驗證碼》的論文（“我不是機器人”是谷歌reCaptcha的一句經典——譯註），聲稱利用他們的自動識別技術，reCaptcha的影像驗證每次破解僅需19秒，成功率達70.78%。