关于前端:谷歌reCaptcha验证码服务再次被攻破

顶象按：reCaptcha就像其名字一样，彰显着谷歌从新定义验证码服务的雄心壮志。不过世界上没有不透风的墙，弱小如谷歌如不提高则只能后退。本文介绍了谷歌reCaptcha验证码服务中“音频验证”选项被攻破的流程逻辑和一些细节，但其引领的翻新轨迹追踪类验证（即其标志性的“我不是机器人”勾选验证码）的攻破难度依然很大。

文/Tom Spring
编译/小象
原文地址/https://threatpost.com/google...

据报道，来自美国马里兰大学的一个团队设计了一款主动攻打的程序，胜利攻破了谷歌的reCaptcha验证码服务，准确率高达85%。

该团队的钻研人员将他们开发的这款程序命名为“unCaptcha”（“un”在英文中做前缀表“否定”，此处有戏谑之意——译注），能够攻破谷歌reCaptcha验证码服务中“语音验证”的选项。

为了应答网上注册机等能够霎时注册成千盈百垃圾账号的机器脚本，谷歌公司于2014年在旗下泛滥公共服务中推出了名为“reCaptcha”的验证码服务。CAPTCHA即Completely Automated Public Turing test to tell Computers and HumansApart的缩写，意为“全自动辨别计算机和人类的公开图灵测试”。而“RE-captcha”则是谷歌公司为本人研发的通过图像、音频或文原本辨认实在人类登录操作的验证技术起的名字（“re”在英文中做前缀表“再、又、从新”，谷歌公司借此表白其从新定义验证码服务的雄心——译注）。

“咱们通过各个网站上超过450次测试来验证unCaptcha的能力并且发现均匀破解工夫仅需5.42秒，通过率达85.15%”马里兰大学钻研人员Kevin Bock、Daven Patel、George Hughey和Dave Levin在他们的报告中写道。

unCaptcha的破解不是通过文本辨认，而是利用了reCaptcha提供的语音验证性能。马里兰的钻研人员解释称：“一部分视觉阻碍的用户无奈应用文字或图像验证码，所以催生了语音验证。”

本次公布的信息中能够明确看出语音验证办法还是存在比拟显著的破绽，其攻破老本也并不是很高，加上成功率高，批量绕过是很有可能的。与之绝对，谷歌标志性的轨迹追踪验证码“我不是机器人”勾选验证的绕过老本依然比拟高，且成功率低，该项技术仍放弃了较高的稳定性。 目前世界范畴内也鲜见提供轨迹追踪技术商业利用验证服务的平安厂家 。国内支流验证码如顶象的无感验证是通过收集用户的行为以及环境信息，联合模型和风控剖析来辨别人机。

该钻研报告指出，unCaptcha集成了在线“语音-文字转化”引擎和先进的音频绘图技术。首先，钻研人员通过浏览器主动操作插件抉择谷歌reCaptcha的“语音验证”选项，而后会下载声音文件。接着，网上收费的“语音-文字转化”服务将会对声音文件进行辨认。

“对每一部分的音频实现绘图之后，咱们会把辨认后果整合成一个答案”，钻研人员写道，“当这样一串候选字符拼接实现后，unCaptcha将答案有机地（通过每个字符间对立的工夫随机机制）键入填写框并点击‘提交’键”。

谷歌的reCaptcha并不是第一次被攻破。往年三月份，East-Ee平安网站的钻研人员具体介绍了利用谷歌本人的网页工具绕过谷歌验证的办法。这款被称作“ReBreakCaptcha（“再次攻破验证码——译注”）”的工具通过一段可能利用谷歌本人的利用程序接口捕获reCaptcha语音验证声音文件的脚本来攻打谷歌验证服务，而后再通过“语音-文字转换”技术生成文本答案并填写如答案框。

此外，2016年亚洲黑帽子大会上哥伦比亚大学的一队钻研人员也发表了名为《我不是人类：破解谷歌reCaptcha验证码》的论文（“我不是机器人”是谷歌reCaptcha的一句经典——译注），宣称利用他们的自动识别技术，reCaptcha的图像验证每次破解仅需19秒，成功率达70.78%。