reCAPTCHA項目是由卡內基·梅隆大學所研發的一套系統,常應用在一些網站的“我不是機器人”驗證上。谷歌于2009年收購了reCAPTCHA,但沒想到的是,一些研究人員用谷歌的另一項服務,攻破了reCAPTCHA。
據MotherBoard報道,馬里蘭大學的研究人員推出了一套據稱能夠騙過reCAPTCHA的“unCaptcha”系統。有趣的是,這套系統借用了谷歌的語音轉文本服務,可謂是“以子之矛攻子之盾”。
▲馬里蘭大學論文介紹頁截圖。他們在這里調侃了一下,把“我不是機器人”的文字寫成了“我不是人類”
根據他們的論文,“unCaptcha”會先下載音頻驗證碼,將音頻分成單個數字音頻片段;之后,系統將片段上傳到包括多個語音轉文本服務,再將后者返回的結果轉化為數字形式。
之后,系統會做一些一些同音詞猜測,決定哪個語音轉文本的輸出最接近準確結果,然后將答案上傳到CAPTCHA驗證上。據稱,這種舊方法的成功率達到了85%。
谷歌自然不會對此放任不管。在早先版本的“unCaptcha”發布后,谷歌修復了部分漏洞,優化了瀏覽器自動檢測,并切換到口頭短語驗證而不僅僅是通過數字方式。
可是這些研究人員似乎“魔高一丈”。他們表示,更新后的“unCaptcha2”可以繞過谷歌的改進措施,且將破解的成功率進一步提升到90%。
▲unCaptcha2項目的GitHub頁面截圖
這套系統現在已經發布到了GitHub上。根據研究人員的說法,谷歌已經知悉新系統的情況,且沒有去找他們麻煩。他們在相關頁面上寫道:
我們已經與ReCaptcha團隊聯系了六個多月,他們完全知悉新的攻擊。盡管該項目已取得成功,但reCAPTCHA團隊允許我們發布代碼。
