以子之矛攻子之盾：谷歌reCAPTCHA機(jī)器人驗(yàn)證被自家服務(wù)騙過了

IT之家1月5日消息 reCAPTCHA項(xiàng)目是由卡內(nèi)基·梅隆大學(xué)所研發(fā)的一套系統(tǒng)，常應(yīng)用在一些網(wǎng)站的“我不是機(jī)器人”驗(yàn)證上。谷歌于2009年收購了reCAPTCHA，但沒想到的是，一些研究人員用谷歌的另一項(xiàng)服務(wù)，攻破了reCAPTCHA。

據(jù)MotherBoard報(bào)道，馬里蘭大學(xué)的研究人員推出了一套據(jù)稱能夠騙過reCAPTCHA的“unCaptcha”系統(tǒng)。有趣的是，這套系統(tǒng)借用了谷歌的語音轉(zhuǎn)文本服務(wù)，可謂是“以子之矛攻子之盾”。

▲馬里蘭大學(xué)論文介紹頁截圖。他們?cè)谶@里調(diào)侃了一下，把“我不是機(jī)器人”的文字寫成了“我不是人類”

根據(jù)他們的論文，“unCaptcha”會(huì)先下載音頻驗(yàn)證碼，將音頻分成單個(gè)數(shù)字音頻片段；之后，系統(tǒng)將片段上傳到包括多個(gè)語音轉(zhuǎn)文本服務(wù)，再將后者返回的結(jié)果轉(zhuǎn)化為數(shù)字形式。

之后，系統(tǒng)會(huì)做一些一些同音詞猜測(cè)，決定哪個(gè)語音轉(zhuǎn)文本的輸出最接近準(zhǔn)確結(jié)果，然后將答案上傳到CAPTCHA驗(yàn)證上。據(jù)稱，這種舊方法的成功率達(dá)到了85％。

谷歌自然不會(huì)對(duì)此放任不管。在早先版本的“unCaptcha”發(fā)布后，谷歌修復(fù)了部分漏洞，優(yōu)化了瀏覽器自動(dòng)檢測(cè)，并切換到口頭短語驗(yàn)證而不僅僅是通過數(shù)字方式。

可是這些研究人員似乎“魔高一丈”。他們表示，更新后的“unCaptcha2”可以繞過谷歌的改進(jìn)措施，且將破解的成功率進(jìn)一步提升到90％。

▲unCaptcha2項(xiàng)目的GitHub頁面截圖

這套系統(tǒng)現(xiàn)在已經(jīng)發(fā)布到了GitHub上。根據(jù)研究人員的說法，谷歌已經(jīng)知悉新系統(tǒng)的情況，且沒有去找他們麻煩。他們?cè)谙嚓P(guān)頁面上寫道：

我們已經(jīng)與ReCaptcha團(tuán)隊(duì)聯(lián)系了六個(gè)多月，他們完全知悉新的攻擊。盡管該項(xiàng)目已取得成功，但reCAPTCHA團(tuán)隊(duì)允許我們發(fā)布代碼。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。