unCAPTCHA: Η Google βιάστηκε να γιορτάσει την ασφάλεια που προσφέρει η υπηρεσία της reCAPTCHA, ένα σύστημα που αναγνωρίζει αυτόματα ότι δεν είστε bot.
Μια ομάδα ερευνητών από το Πανεπιστήμιο του Maryland ανέπτυξαν ένα νέο αλγόριθμο, που τον ονόμασαν unCAPTCHA. Ο νέος αλγόριθμος μπορεί να νικήσει το σύστημα reCAPTCHA της Google με ποσοστό επιτυχίας 85 τοις εκατό. Η συγκεκριμένη μέθοδος εκμεταλλεύεται μια ευπάθεια στην έκδοση ήχου του reCAPTCHA.
Οι ερευνητές χρησιμοποίησαν λογισμικό αυτοματοποίησης του προγράμματος περιήγησης για την ανάλυση των απαραίτητων στοιχείων και τον προσδιορισμό των αριθμών που απήγγειλε η Google. Μετά μεταβίβασαν αυτούς τους αριθμούς προγραμματιστικά, με σκοπό να ξεγελάσουν τα σημεία που κάνει το AI της Google να ξεχρίζει bots από ανθρώπους.
Για να συμβεί αυτό, το AI που ανέπτυξαν παραβιάζει αρκετά γνωστά ελαττώματα στο σύστημα ασφαλείας της Google για να μειώσει σημαντικά το επίπεδο υποψίας του reCAPTCHA.
Το πιο εντυπωσιακό είναι ότι οι ερευνητές χρησιμοποίησαν μια σειρά υπηρεσιών μεταγραφής ήχου για να νικήσουν το σύστημα. Περιέργως, αυτές οι υπηρεσίες ήταν της IBM, Google Cloud και Speech Recognition, Sphinx, Wit-AI, αλλά και Bing Speech Recognition. Έτσι, με κάποιο τρόπο, οι ερευνητές χρησιμοποίησαν τεχνολογία της Google για την παραβίαση της τεχνολογίας της Google.
Μετά την αποκάλυψη αυτού του ελαττώματος στο Big G τον Απρίλιο, οι ερευνητές αναφέρουν ότι η εταιρεία έχει προσθέσει κάποιες επιπρόσθετες προστασίες που περιορίζουν το ποσοστό επιτυχίας του unCAPTCHA.
“Για παράδειγμα, η Google βελτίωσε επίσης την ανίχνευση αυτοματοποίησης του προγράμματος περιήγησης. Επιπλέον, παρατηρήσαμε ότι ορισμένοι ήχοι περιλαμβάνουν όχι μόνο ψηφία, αλλά και μικρά αποσπάσματα προφορικού κειμένου.”
Οι ερευνητές έκτοτε κυκλοφόρησαν το πλήρες PoC σε ένα paper που μπορείτε να δείτε όλες τις λεπτομέρειες [PDF]. Το paper παρουσιάστηκε επίσημα στο Usenix WOOT ’17 πυ πραγματοποιήθηκε στο Βανκούβερ.
Δείτε το βίντεο