Обнаружен метод обхода reCAPTCHA с помощью API сервиса для распознавания речи

Исследователь безопасности, известный в Сети как East-EE, обнаружил так называемую «логическую уязвимость», которая позволила ему обойти алгоритм Google reCAPTCHA с помощью другого сервиса компании — API для распознавания речи.

Написанный на Python PoC-код, позволяющий автоматизировать процесс обхода reCAPTCHA, уже опубликован на портале для разработчиков GitHub.

East-EE обнаружил уязвимость в 2016 году и, по его словам, проблема все еще остается неисправленной. Известно ли Google об уязвимости, исследователь не уточнил.

Атака, получившая название ReBreakCaptcha, работает только против второй, текущей версии reCAPTCHA. Атака основана на использовании звуковых тестов (дополнительной системы проверки, которая отображается при нажатии на соответствующую кнопку в окне reCAPTCHA). По словам East-EE, ему удалось обработать аудио-файл при помощи API сервиса для распознавания речи и получить звуковые тесты в виде текстовой версии. Далее эксперт ввел текст в поле reCAPTCHA и обошел защиту.

Источники:

east-ee.com
securitylab.ru



(adsbygoogle = window.adsbygoogle || ).push({});