Исследователь нашел способ обмануть reCAPTCHA с помощью Google Speech Recognition API





Независимый исследователь, известный в сети под ником East-EE, продемонстрировал способ обхода популярной защиты reCAPTCHA (защита от ботов). Специалист назвал находку «логической уязвимостью». Оказалось, что для обмана защитного механизма можно использовать сервис, принадлежащий корпорации Google.

East-EE рассказал, что проблему обнаружил еще в 2016 году, после чего уведомил о находке специалистов Google, однако и сегодня ошибка не исправлена. На портале GitHub уже опубликован proof-of-concept, позволяющий автоматизировать весь процесс взлома.

Исследователь также пояснил, что против reCAPTCHA v2 можно применить другой сервис компании Google. Поскольку разработчики всегда учитывают потребности людей с ограниченными возможностями, reCAPTCHA всегда предоставляет возможность активировать функцию озвучивания текста на картинке. Если система пользователя не позволяет воспроизвести запись (например, при использовании устаревшего обозревателя или когда в системе отключена возможность воспроизведения аудио), есть возможность скачать аудиофайл.

Специалист обнаружил, что такой аудиофайл можно отправить сервису Speech Recognition API, который позволяет распознавать речь. API в ответном сообщении предоставить текстовую версию записи, которую можно автоматически вставить в нужное поле reCAPTCHA. Учитывая, что независимый исследователь уже опубликовал функционирующий proof-of-concept, позволяющий путем автоматизации значительно ускорить данный процесс, можно ожидать, что скоро появятся полноценные интернет-сервисы или плагины для обозревателей, основанные на наработках East-EE.

Стоит отметить, что это уже не первый случай создания инструмента для обхода reCAPTCHA. В 2016 году группа специалистов Колумбийского университета анонсировали метод, который позволял распознать Google CAPTCHA с точностью 70,78%. Тесты с Facebook CAPTCHA показали более высокий результат – правильное распознание было в 83,5% случаях.

Ваш комментарий