È stato scoperto che una tecnica di attacco di tre anni per bypassare l'audio reCAPTCHA di Google utilizzando la propria API Speech-to-Text funziona ancora con una precisione del 97%.
Il ricercatore Nikolai Tschacher ha rivelato le sue scoperte in un proof-of-concept (PoC) dell'attacco del 2 gennaio.
"L'idea dell'attacco è molto semplice: prendi il file MP3 dell'audio reCAPTCHA e lo sottoponi all'API di sintesi vocale di Google", ha detto Tschacher in un articolo. "Google restituirà la risposta corretta in oltre il 97% di tutti i casi."
Introdotti nel 2000, i CAPTCHA (o test di Turing completamente automatizzato per raccontare a computer e esseri umani a parte) sono un tipo di test di risposta alla sfida progettati per proteggere dalla creazione automatica di account e dall'abuso di servizi, presentando agli utenti una domanda che è facile da risolvere per gli esseri umani ma difficile per i computer.
reCAPTCHA è una versione popolare della tecnologia CAPTCHA acquisita da Google nel 2009. Il gigante della ricerca ha rilasciato la terza iterazione di reCAPTCHA nell'ottobre 2018. Elimina completamente la necessità di interrompere gli utenti con sfide a favore di un punteggio (da 0 a 1) restituito in base al comportamento di un visitatore sul sito Web, il tutto senza l'interazione dell'utente.
L'intero attacco dipende da una ricerca denominata " unCaptcha " , pubblicata dai ricercatori dell'Università del Maryland nell'aprile 2017 e mirata alla versione audio di reCAPTCHA. Offerto per motivi di accessibilità, rappresenta una sfida audio, consentendo alle persone con problemi di vista di riprodurre o scaricare il campione audio e risolvere il problema.
Per eseguire l' attacco , il payload audio viene identificato in modo programmatico sulla pagina utilizzando strumenti come Selenium, quindi scaricato e inserito in un servizio di trascrizione audio online come l'API di sintesi vocale di Google, i cui risultati vengono infine utilizzati per sconfiggere il CAPTCHA audio.
A seguito della divulgazione dell'attacco, Google ha aggiornato reCAPTCHA nel giugno 2018 con un migliore rilevamento dei bot e supporto per frasi pronunciate piuttosto che cifre, ma non abbastanza per contrastare l'attacco - poiché i ricercatori hanno rilasciato " unCaptcha2 " come PoC con una precisione ancora migliore (91% quando rispetto all'85% di unCaptcha) utilizzando un "clicker dello schermo per spostarsi su determinati pixel dello schermo e spostarsi nella pagina come un essere umano".
Lo sforzo di Tschacher è un tentativo di mantenere il PoC aggiornato e funzionante, rendendo così possibile aggirare la versione audio di reCAPTCHA v2 sfruttando un bot per simulare l'intero processo e sconfiggere le protezioni.
"Ancora peggio: reCAPTCHA v2 è ancora utilizzato nel nuovo reCAPTCHA v3 come meccanismo di fallback", ha osservato Tschacher.
Con reCAPTCHA utilizzato da centinaia di migliaia di siti per rilevare il traffico abusivo e la creazione di account bot, l'attacco ricorda che non è sempre infallibile e delle conseguenze significative che un bypass può comportare.
Nel marzo 2018, Google ha risolto un difetto separato in reCAPTCHA che consentiva a un'applicazione web che utilizzava la tecnologia di creare una richiesta a "/ recaptcha / api / siteverify" in modo insicuro e aggirare la protezione ogni volta.
