Google Speech-to-Text API môže pomôcť útočníkom jednoducho obísť Google reCAPTCHA

Zistilo sa, že tri roky stará technika útoku na obídenie zvukovej reCAPTCHA spoločnosti Google pomocou vlastného rozhrania Speech-to-Text API stále funguje s presnosťou 97 %.

Výskumník Nikolai Tschacher zverejnil svoje zistenia v proof-of-concept (PoC) útoku z januára 2.

“Myšlienka útoku je veľmi jednoduchá: Vezmete súbor MP3 zo zvukového záznamu reCAPTCHA a odošlete ho do vlastného rozhrania Google pre prevod reči na text,” uviedol Tschacher. „Google vráti správnu odpoveď vo viac ako 97 % všetkých prípadov.“

CAPTCHA (alebo úplne automatizovaný verejný Turingov test, ktorý rozlíši Computers and Humans Apart), zavedené v roku 2000, sú typom testov odozvy a výzvy, ktoré sú navrhnuté tak, aby chránili pred automatizovaným vytváraním účtov a zneužívaním služieb tým, že používateľom dávajú otázku, ktorú ľudia ľahko riešia. ale ťažké pre počítače.

reCAPTCHA je populárna verzia technológie CAPTCHA, ktorú Google získal v roku 2009. Vyhľadávací gigant vydal tretiu iteráciu reCAPTCHA v októbri 2018. Úplne eliminuje potrebu rušiť používateľov výzvami v prospech skóre (0 do 1), ktorý sa vracia na základe správania návštevníka na webovej lokalite – to všetko bez interakcie používateľa.

Celý útok závisí od výskumu nazvaného „unCaptcha“, ktorý v apríli 2017 zverejnili výskumníci z University of Maryland a ktorý sa zameriaval na zvukovú verziu reCAPTCHA. Ponúka sa z dôvodu dostupnosti, predstavuje zvukovú výzvu a umožňuje ľuďom so stratou zraku prehrať alebo stiahnuť zvukovú ukážku a vyriešiť otázku.

Na vykonanie útoku sa na stránke programovo identifikuje audio obsah pomocou nástrojov, ako je Selenium, potom sa stiahne a odošle do online služby na prepis zvuku, ako je Google Speech-to-Text API, ktorého výsledky sa nakoniec použijú na porazenie audio CAPTCHA.

Po odhalení útoku spoločnosť Google v júni 2018 aktualizovala reCAPTCHA vylepšenou detekciou robotov a podporou hovorených fráz namiesto číslic, ale nie dosť na to, aby zabránila útoku – pretože výskumníci vydali „unCaptcha2“ ako PoC s ešte lepšou presnosťou (91 %, keď v porovnaní s 85% v rámci unCaptcha pomocou „kliknutia na obrazovke na presun na určité pixely na obrazovke a pohyb po stránke ako človek“.

Tschacherovým úsilím je pokus udržiavať PoC aktuálny a funkčný, čím je možné obísť zvukovú verziu reCAPTCHA v2 využitím robota na simuláciu celého procesu a zrušenie ochrany.

„Ešte horšie: reCAPTCHA v2 sa stále používa v novom reCAPTCHA v3 ako záložný mechanizmus,“ poznamenal Tschacher.

Keďže reCAPTCHA používajú stovky tisíc stránok na detekciu zneužívania návštevnosti a vytvárania účtov robotov, útok je pripomienkou toho, že nie je vždy úplne bezpečný a že obchádzanie môže mať závažné dôsledky.

V marci 2018 spoločnosť Google riešila samostatnú chybu v reCAPTCHA, ktorá umožňovala webovej aplikácii používajúcej túto technológiu vytvoriť požiadavku na „/recaptcha/api/siteverify“ nezabezpečeným spôsobom a zakaždým obísť ochranu.