谷歌reCaptcha驗證碼服務再次被攻破

頂象按：reCaptcha就像其名字同樣，彰顯着谷歌從新定義驗證碼服務的雄心壯志。不過世界上沒有不透風的牆，強大如谷歌如不進步則只能後退。本文介紹了谷歌reCaptcha驗證碼服務中「音頻驗證」選項被攻破的流程邏輯和一些細節，但其引領的創新軌跡追蹤類驗證（即其標誌性的「我不是機器人」勾選驗證碼）的攻破難度仍然很大。

文/Tom Spring
編譯/小象
原文地址/https://threatpost.com/googles-recaptcha-cracked-again/128690/

據報道，來自美國馬里蘭大學的一個團隊設計了一款自動***的程序，成功攻破了谷歌的reCaptcha驗證碼服務，準確率高達85%。

該團隊的研究人員將他們開發的這款程序命名爲「unCaptcha」（「un」在英文中作前綴表「否認」，此處有戲謔之意——譯註），能夠攻破谷歌reCaptcha驗證碼服務中「語音驗證」的選項。

爲了應對網上註冊機等能夠瞬間註冊成百上千垃圾帳號的機器腳本，谷歌公司於2014年在旗下衆多公共服務中推出了名爲「reCaptcha」的驗證碼服務。CAPTCHA即Completely Automated Public Turing test to tell Computers and HumansApart的縮寫，意爲「全自動區分計算機和人類的公開圖靈測試」。而「RE-captcha」則是谷歌公司爲本身研發的經過圖像、音頻或文原本識別真實人類登陸操做的驗證技術起的名字（「re」在英文中作前綴表「再、又、從新」，谷歌公司藉此表達其從新定義驗證碼服務的雄心——譯註）。

「咱們經過各個網站上超過450次測試來驗證unCaptcha的能力而且發現平均破解時間僅需5.42秒，經過率達85.15%」馬里蘭大學研究人員Kevin Bock、Daven Patel、George Hughey和Dave Levin在他們的報告中寫道。

unCaptcha的破解不是經過文本識別，而是利用了reCaptcha提供的語音驗證功能。馬里蘭的研究人員解釋稱：「一部分視覺障礙的用戶沒法使用文字或圖像驗證碼，因此催生了語音驗證。」

本次發佈的信息中能夠明確看出語音驗證方法仍是存在比較明顯的漏洞，其攻破成本也並非很高，加上成功率高，批量繞過是頗有可能的。與之相對，谷歌標誌性的軌跡追蹤驗證碼「我不是機器人」勾選驗證的繞過成本仍然比較高，且成功率低，該項技術仍保持了較高的穩定性。 目前世界範圍內也鮮見提供軌跡追蹤技術商業應用驗證服務的安全廠家 。國內主流驗證碼如頂象的無感驗證是經過收集用戶的行爲以及環境信息，結合模型和風控分析來區分人機。  

該研究報告指出，unCaptcha集成了在線「語音-文字轉化」引擎和先進的音頻繪圖技術。首先，研究人員經過瀏覽器自動操做插件選擇谷歌reCaptcha的「語音驗證」選項，而後會下載聲音文件。接着，網上免費的「語音-文字轉化」服務將會對聲音文件進行識別。

「對每一部分的音頻完成繪圖以後，咱們會把識別結果整合成一個答案」，研究人員寫道，「當這樣一串候選字符拼接完成後，unCaptcha將答案有機地（經過每一個字符間統一的時間隨機機制）鍵入填寫框並點擊‘提交’鍵」。

谷歌的reCaptcha並非第一次被攻破。今年三月份，East-Ee安全網站的研究人員詳細介紹了利用谷歌本身的網頁工具繞過谷歌驗證的方法。這款被稱做「ReBreakCaptcha（「再次攻破驗證碼——譯註」）」的工具經過一段可以利用谷歌本身的應用程序接口捕捉reCaptcha語音驗證聲音文件的腳原本***谷歌驗證服務，而後再經過「語音-文字轉換」技術生成文本答案並填寫如答案框。

此外，2016年亞洲黑帽子大會上哥倫比亞大學的一隊研究人員也發表了名爲《我不是人類：破解谷歌reCaptcha驗證碼》的論文（「我不是機器人」是谷歌reCaptcha的一句經典——譯註），聲稱利用他們的自動識別技術，reCaptcha的圖像驗證每次破解僅需19秒，成功率達70.78%。