Создан алгоритм, использующий инструменты Google для обхода reCAPTCHA

Весной этого года Google хвасталась тем, что её ИИ теперь может отличить человека от машины без каких-либо сложных заданий или проверок. Похоже, что компания немного поспешила с выводами.

Группа исследователей из Мэрилендского университета разработала новый алгоритм, который называется unCAPTCHA. Он способен обойти систему reCAPTCHA с вероятностью 85 %. В основе метода лежит использование уязвимости в аудиоверсии reCAPTCHA. Решение парсит необходимые элементы и «на слух» определяет числа. Затем эти числа вводятся на программном уровне, что заставляет сайты принимать бота за человека.

Исследователи поясняют:

UnCAPTCHA нацелен на популярный сайт Reddit. Он проходит процесс регистрации нового пользователя, но останавливается, не заканчивая регистрацию до конца, чтобы смягчить воздействие на ресурс.

Реализация использует несколько известных недостатков в системе безопасности Google, чтобы снизить «уровень подозрительности» reCAPTCHA.

Исследователи использовали несколько сервисов для транскрибирования аудио (в том числе и от Google Cloud), чтобы победить систему. Таким образом, исследователи обернули творение Google против самой компании.

Этот способ обхода системы был обнаружен еще в апреле. С тех пор Google добавила некоторые дополнительные меры защиты, которые снижают вероятность успеха unCAPTCHA. Исследователи отметили:

Например, Google также улучшила обнаружение ПО для автоматизации браузера. Это может привести к тому, что система не будет принимать странные фрагменты аудио. Кроме того, мы заметили, что некоторые капчи включают в себя не только цифры, но и небольшие фрагменты текста.

Исследователи опубликовали доклад и презентацию, представленные на конференции Usenix WOOT ’17, проходившей в Ванкувере.