Обнаружен метод обхода reCAPTCHA


Google reCAPTCHAИсследователь безопасности под псевдонимом East-EE, обнаружил так называемую "логическую уязвимость". Эксплуатация данной бреши позволила ему обойти алгоритм Google reCAPTCHA с помощью другого сервиса компании - API для распознавания речи. Написанный на Python PoC-код, позволяющий автоматизировать процесс обхода reCAPTCHA, уже опубликован на портале для разработчиков GitHub.

Уязвимость была обнаружена еще в 2016 году, и до настоящего времени проблема все еще остается неисправленной.

 

Атака с использованием данной уязвимости получила название ReBreakCaptcha и работает только против второй, текущей версии reCAPTCHA. Сама атака основана на использовании звуковых тестов (дополнительной системы проверки, которая отображается при нажатии на соответствующую кнопку в окне reCAPTCHA). По словам исследователя, он смог обработать аудио-файл при помощи API сервиса для распознавания речи и получить звуковые тесты в виде текстовой версии. Далее East-EE ввел текст в поле reCAPTCHA и обошел защиту.

Напомним, в 2016 году еще одна группа исследователей сумела успешно обойти Google reCAPTCHA. Процент успешного обхода защиты составил 70,78% для 2235 CAPTCHA-задач, а среднее время обхода CAPTCHA составило 19,2 сек.


Обновлено (03.03.2017 01:19)