reCAPTCHA項(xiàng)目是由卡內(nèi)基·梅隆大學(xué)所研發(fā)的一套系統(tǒng),常應(yīng)用在一些網(wǎng)站的“我不是機(jī)器人”驗(yàn)證上。谷歌于2009年收購(gòu)了reCAPTCHA,但沒(méi)想到的是,一些研究人員用谷歌的另一項(xiàng)服務(wù),攻破了reCAPTCHA。
據(jù)MotherBoard報(bào)道,馬里蘭大學(xué)的研究人員推出了一套據(jù)稱能夠騙過(guò)reCAPTCHA的“unCaptcha”系統(tǒng)。有趣的是,這套系統(tǒng)借用了谷歌的語(yǔ)音轉(zhuǎn)文本服務(wù),可謂是“以子之矛攻子之盾”。
▲馬里蘭大學(xué)論文介紹頁(yè)截圖。他們?cè)谶@里調(diào)侃了一下,把“我不是機(jī)器人”的文字寫成了“我不是人類”
根據(jù)他們的論文,“unCaptcha”會(huì)先下載音頻驗(yàn)證碼,將音頻分成單個(gè)數(shù)字音頻片段;之后,系統(tǒng)將片段上傳到包括多個(gè)語(yǔ)音轉(zhuǎn)文本服務(wù),再將后者返回的結(jié)果轉(zhuǎn)化為數(shù)字形式。
之后,系統(tǒng)會(huì)做一些一些同音詞猜測(cè),決定哪個(gè)語(yǔ)音轉(zhuǎn)文本的輸出最接近準(zhǔn)確結(jié)果,然后將答案上傳到CAPTCHA驗(yàn)證上。據(jù)稱,這種舊方法的成功率達(dá)到了85%。
谷歌自然不會(huì)對(duì)此放任不管。在早先版本的“unCaptcha”發(fā)布后,谷歌修復(fù)了部分漏洞,優(yōu)化了瀏覽器自動(dòng)檢測(cè),并切換到口頭短語(yǔ)驗(yàn)證而不僅僅是通過(guò)數(shù)字方式。
可是這些研究人員似乎“魔高一丈”。他們表示,更新后的“unCaptcha2”可以繞過(guò)谷歌的改進(jìn)措施,且將破解的成功率進(jìn)一步提升到90%。
▲unCaptcha2項(xiàng)目的GitHub頁(yè)面截圖
這套系統(tǒng)現(xiàn)在已經(jīng)發(fā)布到了GitHub上。根據(jù)研究人員的說(shuō)法,谷歌已經(jīng)知悉新系統(tǒng)的情況,且沒(méi)有去找他們麻煩。他們?cè)谙嚓P(guān)頁(yè)面上寫道:
我們已經(jīng)與ReCaptcha團(tuán)隊(duì)聯(lián)系了六個(gè)多月,他們完全知悉新的攻擊。盡管該項(xiàng)目已取得成功,但reCAPTCHA團(tuán)隊(duì)允許我們發(fā)布代碼。
