La API de Google Speech-to-Text puede ayudar a los atacantes a evitar fácilmente Google recaptcha

Se ha descubierto que una técnica de ataque de hace tres años para eludir el audio reCAPTCHA de Google mediante el uso de su propia API Speech-to-Text todavía funciona con un 97% de precisión.

El investigador Nikolai Tschacher reveló sus hallazgos en una prueba de concepto (PoC) del ataque el 2 de enero.

«La idea del ataque es muy simple: agarras el archivo MP3 del audio reCAPTCHA y lo envías a la API de voz a texto de Google», dijo Tschacher en un artículo. «Google devolverá la respuesta correcta en más del 97% de todos los casos».

Introducido en 2014, CAPTCHA (o prueba de Turing pública completamente automatizada para diferenciar a las computadoras y los humanos) es un tipo de prueba de desafío-respuesta diseñada para proteger contra la creación automatizada de cuentas y el abuso del servicio al presentar a los usuarios una pregunta que es fácil de resolver para los humanos. pero difícil para las computadoras.

reCAPTCHA es una versión popular de la tecnología CAPTCHA que fue adquirida por Google en 2009. El gigante de las búsquedas lanzó la tercera iteración de reCAPTCHA en octubre de 2018. Elimina por completo la necesidad de interrumpir a los usuarios con desafíos a favor de una puntuación (0 a 1) que se devuelve en función del comportamiento de un visitante en el sitio web, todo sin la interacción del usuario.

Todo el ataque depende de una investigación denominada » unCaptcha «, publicada por investigadores de la Universidad de Maryland en abril de 2017, dirigida a la versión de audio de reCAPTCHA. Ofrecido por razones de accesibilidad, plantea un desafío de audio, ya que permite a las personas con pérdida de visión reproducir o descargar la muestra de audio y resolver la pregunta.

Para llevar a cabo el ataque , la carga útil de audio se identifica mediante programación en la página utilizando herramientas como Selenium, luego se descarga y se alimenta a un servicio de transcripción de audio en línea como Google Speech-to-Text API, cuyos resultados se utilizan en última instancia para derrotar a la CAPTCHA de audio.

Tras la divulgación del ataque, Google actualizó reCAPTCHA en junio de 2018 con una mejor detección de bots y soporte para frases habladas en lugar de dígitos, pero no lo suficiente para frustrar el ataque, ya que los investigadores lanzaron » unCaptcha2 » como PoC con una precisión aún mayor (91% cuando en comparación con el 85% de UnCaptcha) mediante el uso de un «clicker de pantalla para moverse a ciertos píxeles en la pantalla y moverse por la página como un humano».