reCAPTCHA項目是由卡內(nèi)基·梅隆大學(xué)所研發(fā)的一套系統(tǒng),常應(yīng)用在一些網(wǎng)站的“我不是機器人”驗證上。谷歌于2009年收購了reCAPTCHA,但沒想到的是,一些研究人員用谷歌的另一項服務(wù),攻破了reCAPTCHA。
據(jù)MotherBoard報道,馬里蘭大學(xué)的研究人員推出了一套據(jù)稱能夠騙過reCAPTCHA的“unCaptcha”系統(tǒng)。有趣的是,這套系統(tǒng)借用了谷歌的語音轉(zhuǎn)文本服務(wù),可謂是“以子之矛攻子之盾”。
▲馬里蘭大學(xué)論文介紹頁截圖。他們在這里調(diào)侃了一下,把“我不是機器人”的文字寫成了“我不是人類”
根據(jù)他們的論文,“unCaptcha”會先下載音頻驗證碼,將音頻分成單個數(shù)字音頻片段;之后,系統(tǒng)將片段上傳到包括多個語音轉(zhuǎn)文本服務(wù),再將后者返回的結(jié)果轉(zhuǎn)化為數(shù)字形式。
之后,系統(tǒng)會做一些一些同音詞猜測,決定哪個語音轉(zhuǎn)文本的輸出最接近準確結(jié)果,然后將答案上傳到CAPTCHA驗證上。據(jù)稱,這種舊方法的成功率達到了85%。
谷歌自然不會對此放任不管。在早先版本的“unCaptcha”發(fā)布后,谷歌修復(fù)了部分漏洞,優(yōu)化了瀏覽器自動檢測,并切換到口頭短語驗證而不僅僅是通過數(shù)字方式。
可是這些研究人員似乎“魔高一丈”。他們表示,更新后的“unCaptcha2”可以繞過谷歌的改進措施,且將破解的成功率進一步提升到90%。
▲unCaptcha2項目的GitHub頁面截圖
這套系統(tǒng)現(xiàn)在已經(jīng)發(fā)布到了GitHub上。根據(jù)研究人員的說法,谷歌已經(jīng)知悉新系統(tǒng)的情況,且沒有去找他們麻煩。他們在相關(guān)頁面上寫道:
我們已經(jīng)與ReCaptcha團隊聯(lián)系了六個多月,他們完全知悉新的攻擊。盡管該項目已取得成功,但reCAPTCHA團隊允許我們發(fā)布代碼。
