WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
reCAPTCHA dễ dàng bị đánh lừa thông qua API chuyển giọng nói thành văn bản của Google
Một kỹ thuật tấn công cũ từ 3 năm trước vẫn có thể vượt qua hệ thống reCAPTCHA âm thanh của Google bằng cách sử dụng API chuyển giọng nói thành văn bản với độ chính xác lên đến 97%.
Nhà nghiên cứu Nikolai Tschacher đã công bố PoC cuộc tấn công vào ngày 2/1/2021.
Tschacher cho biết: “Ý tưởng của cuộc tấn công rất đơn giản: gửi một tệp MP3 của reCAPTCHA âm thanh tới API chuyển giọng nói thành văn bản của chính Google. Google sẽ trả lại đáp án đúng với tỷ lệ 97%”.
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) là một phép thử dạng hỏi đáp ngăn việc tạo tài khoản tự động bằng cách đưa ra câu hỏi phân biệt người dùng với máy tính tự động.
reCAPTCHA phát triển từ công nghệ CAPTCHA và đã được Google mua lại vào năm 2009. Hãng này đã phát hành phiên bản thứ ba của reCAPTCHA vào tháng 10/2018. Phiên bản này không yêu cầu bất kỳ tương tác nào từ người dùng và ngầm đưa ra một thang điểm từ 0 đến 1 dựa trên hành vi duyệt web của họ.
Kỹ thuật tấn công unCaptcha được các nhà nghiên cứu của Đại học Maryland công bố vào tháng 4/2017 nhắm vào phiên bản âm thanh của reCAPTCHA. Phiên bản này hỗ trợ người người bị mất thị lực phát hoặc tải xuống mẫu âm thanh để trả lời câu hỏi.
Để thực hiện cuộc tấn công, payload âm thanh trên trang được xác định bằng cách sử dụng các công cụ như Selenium, sau đó được tải xuống và đưa vào dịch vụ chuyển giọng nói thành văn bản trực tuyến như Google Speech-to-Text API, kết quả sau đó được sử dụng để đánh lừa hệ thống xác thực âm thanh CAPTCHA.
Sau khi cách thức tấn công trên được công bố, tháng 6/2018 Google đã cập nhật reCAPTCHA với tính năng phát hiện bot được cải thiện và hỗ trợ các cụm từ âm thanh thay vì chữ số, nhưng vẫn thể ngăn chặn cuộc tấn công vì các nhà nghiên cứu đã phát hành PoC "unCaptcha2" với độ chính xác thậm chí còn cao hơn (91% so với 85% của unCaptcha) bằng cách sử dụng "trình nhấp màn hình để di chuyển đến các pixel nhất định trên màn hình và di chuyển các pixel đó giống con người".
Chuyên gia Tschacher nhấn mạnh reCAPTCHA v2 vẫn được dùng trong reCAPTCHA v3 như một cơ chế dự phòng.
Hàng trăm nghìn trang web sử dụng reCAPTCHA để phát hiện lưu lượng truy cập bất thường và tạo tài khoản bot tự động. Kỹ thuật tấn công trên là một lời nhắc nhở reCAPTCHA không phải lúc nào cũng an toàn và về những hậu quả có thể xảy ra nếu lơ là việc bảo mật.
Tschacher cho biết: “Ý tưởng của cuộc tấn công rất đơn giản: gửi một tệp MP3 của reCAPTCHA âm thanh tới API chuyển giọng nói thành văn bản của chính Google. Google sẽ trả lại đáp án đúng với tỷ lệ 97%”.
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) là một phép thử dạng hỏi đáp ngăn việc tạo tài khoản tự động bằng cách đưa ra câu hỏi phân biệt người dùng với máy tính tự động.
reCAPTCHA phát triển từ công nghệ CAPTCHA và đã được Google mua lại vào năm 2009. Hãng này đã phát hành phiên bản thứ ba của reCAPTCHA vào tháng 10/2018. Phiên bản này không yêu cầu bất kỳ tương tác nào từ người dùng và ngầm đưa ra một thang điểm từ 0 đến 1 dựa trên hành vi duyệt web của họ.
Để thực hiện cuộc tấn công, payload âm thanh trên trang được xác định bằng cách sử dụng các công cụ như Selenium, sau đó được tải xuống và đưa vào dịch vụ chuyển giọng nói thành văn bản trực tuyến như Google Speech-to-Text API, kết quả sau đó được sử dụng để đánh lừa hệ thống xác thực âm thanh CAPTCHA.
Sau khi cách thức tấn công trên được công bố, tháng 6/2018 Google đã cập nhật reCAPTCHA với tính năng phát hiện bot được cải thiện và hỗ trợ các cụm từ âm thanh thay vì chữ số, nhưng vẫn thể ngăn chặn cuộc tấn công vì các nhà nghiên cứu đã phát hành PoC "unCaptcha2" với độ chính xác thậm chí còn cao hơn (91% so với 85% của unCaptcha) bằng cách sử dụng "trình nhấp màn hình để di chuyển đến các pixel nhất định trên màn hình và di chuyển các pixel đó giống con người".
Chuyên gia Tschacher nhấn mạnh reCAPTCHA v2 vẫn được dùng trong reCAPTCHA v3 như một cơ chế dự phòng.
Hàng trăm nghìn trang web sử dụng reCAPTCHA để phát hiện lưu lượng truy cập bất thường và tạo tài khoản bot tự động. Kỹ thuật tấn công trên là một lời nhắc nhở reCAPTCHA không phải lúc nào cũng an toàn và về những hậu quả có thể xảy ra nếu lơ là việc bảo mật.
Theo The Hacker News