研究人员使用谷歌语音识别API攻破reCAPTCHA

 一位研究人员发现了一个“逻辑漏洞”，他使用这个漏洞创建了一段Python脚本，该脚本可以通过谷歌的语音识别API绕过谷歌的reCAPTCHA。该研究人员的网名为East-EE，他在GitHub上发布了该问题的概念验证代码。

该漏洞尚未封堵

East-EE将他的本次攻击命名为ReBreakCaptcha，他表示自己是在2016年发现的这个漏洞。今天，他将这个漏洞公之于世，并且表示该漏洞目前依然没有被封堵。

该研究者发布的概念验证代码允许攻击者自动绕开reCAPTCHA，目前它正在被数百万网站用来阻挡垃圾信息机器人。

在reCAPTCHA v2中，ReBreakCaptcha只在语音挑战中有效

East-EE透露，他的攻击只对谷歌当前v2版本的reCAPTCHA服务有效。

具体说，这个额共计使用了语音挑战功能，具体请看下图：

在用户使用没有语音播放功能的旧版浏览器时，谷歌运用用户下载语音挑战。

该研究者透露，他成功将这个语音文件下载到本地，并且使用谷歌自己的服务“语音识别API”对其进行识别。

随后，这个API成功识别了语音文件，并且生成了其文字形式，最后改研究人员将文字用在了reCAPTCHA文本框中。

该攻击可实现自动化

由于上述所有步骤都可以进行自动化，因此可以说攻击者能够使用East-EE的ReBreakCaptcha概念验证代码来创建一个浏览器扩展插件或是web服务进行reCAPTCHA绕过。

这并不是谷歌reCAPTCHA系统第一次被绕过了。2016年4月，三个研究人员找到了绕过谷歌和Facebook CAPTCHA方案的方法，绕过谷歌CAPTCHA的成功率为70.78%，绕过Facebook CAPTCHA的成功率为83.5%。

2016年12月，谷歌透露正在开发reCAPTCHA v3，新版服务能够简化用户的输入，此前该项目更名为Invisible reCAPTCHA。

原文来自:SDK.cn

声明：所有来源为“聚合数据”的内容信息，未经本网许可，不得转载！如对内容有异议或投诉，请与我们联系。邮箱：marketing@think-land.com