據(jù)報道，來自美國馬里蘭大學的一個團隊設計了一款自動攻擊的程序，成功攻破了谷歌的reCaptcha驗證碼服務，準確率高達85%。

該團隊的研究人員將他們開發(fā)的這款程序命名為“unCaptcha”（“un”在英文中做前綴表“否定”，此處有戲謔之意——譯注），可以攻破谷歌reCaptcha驗證碼服務中的“語音驗證”選項。

為了應對網(wǎng)上注冊機等可以瞬間注冊成百上千垃圾賬號的機器腳本，谷歌公司于2014年在旗下眾多公共服務中推出了名為“reCaptcha”的驗證碼服務。CAPTCHA即Completely Automated Public Turing test to tell Computers and HumansApart的縮寫，意為“全自動區(qū)分計算機和人類的公開圖靈測試”。

而“RE-captcha”則是谷歌公司為自己研發(fā)的通過圖像、音頻或文本來識別真實人類登錄操作的驗證技術(shù)起的名字。（“re”在英文中做前綴表“再、又、重新”，谷歌公司借此表達其重新定義驗證碼服務的雄心——譯注）

“我們通過各個網(wǎng)站上超過450次測試來驗證unCaptcha的能力并且發(fā)現(xiàn)平均破解時間僅需5.42秒，通過率達85.15%”。馬里蘭大學研究人員Kevin Bock、Daven Patel、George Hughey和Dave Levin在他們的報告中寫道。

unCaptcha的破解不是通過文本識別，而是利用了reCaptcha提供的語音驗證功能。馬里蘭的研究人員解釋稱：“一部分視覺障礙的用戶無法使用文字或圖像驗證碼，所以催生了語音驗證。”

本次發(fā)布的信息中可以明確看出語音驗證方法還是存在比較明顯的漏洞，其攻破成本也并不是很高，加上成功率高，批量繞過是很有可能的。與之相對，谷歌標志性的軌跡追蹤驗證碼“我不是機器人”勾選驗證的繞過成本仍然比較高，且成功率低，該項技術(shù)仍保持了較高的穩(wěn)定性。

目前世界范圍內(nèi)也鮮見提供軌跡追蹤技術(shù)商業(yè)應用驗證服務的安全廠家 。國內(nèi)主流驗證碼如頂象的無感驗證是通過收集用戶的行為以及環(huán)境信息，結(jié)合模型和風控分析來區(qū)分人機。

該研究報告指出，unCaptcha集成了在線“語音-文字轉(zhuǎn)化”引擎和先進的音頻繪圖技術(shù)。首先，研究人員通過瀏覽器自動操作插件選擇谷歌reCaptcha的“語音驗證”選項，然后會下載聲音文件。接著，網(wǎng)上免費的“語音-文字轉(zhuǎn)化”服務將會對聲音文件進行識別。

“對每一部分的音頻完成繪圖之后，我們會把識別結(jié)果整合成一個答案”，研究人員寫道，“當這樣一串候選字符拼接完成后，unCaptcha將答案有機地（通過每個字符間統(tǒng)一的時間隨機機制）鍵入填寫框并點擊‘提交’鍵”。

谷歌的reCaptcha并不是第一次被攻破。今年三月份，East-Ee安全網(wǎng)站的研究人員詳細介紹了利用谷歌自己的網(wǎng)頁工具繞過谷歌驗證的方法。這款被稱作“ReBreakCaptcha（“再次攻破驗證碼——譯注”）”的工具通過一段能夠利用谷歌自己的應用程序接口捕捉reCaptcha語音驗證聲音文件的腳本來攻擊谷歌驗證服務，然后再通過“語音-文字轉(zhuǎn)換”技術(shù)生成文本答案并填寫如答案框。

此外，2016年亞洲黑帽子大會上哥倫比亞大學的一隊研究人員也發(fā)表了名為《我不是人類：破解谷歌reCaptcha驗證碼》的論文（“我不是機器人”是谷歌reCaptcha的一句經(jīng)典——譯注），聲稱利用他們的自動識別技術(shù)，reCaptcha的圖像驗證每次破解僅需19秒，成功率達70.78%。

作者：頂象