Se descubrió que una técnica de ataque de tres años para eludir el reCAPTCHA de audio de Google mediante el uso de su propia API Speech-to-Text todavía funciona con un 97% de precisión.
El investigador Nikolai Tschacher reveló sus hallazgos en una prueba de concepto (PoC) del ataque el 2 de enero.
«La idea del ataque es muy simple: tomas el archivo MP3 del reCAPTCHA de audio y lo envías a la propia API de voz a texto de Google», dijo Tschacher en un artículo. «Google devolverá la respuesta correcta en más del 97% de todos los casos».
Introducidos en 2000, los CAPTCHA (o prueba de Turing pública completamente automatizada para diferenciar a las computadoras y los humanos) son un tipo de pruebas de desafío y respuesta diseñadas para proteger contra la creación automática de cuentas y el abuso del servicio al presentar a los usuarios una pregunta que es fácil de resolver para los humanos. pero difícil para las computadoras.
reCAPTCHA es una versión popular de la tecnología CAPTCHA que fue adquirida por Google en 2009. El gigante de las búsquedas lanzó la tercera iteración de reCAPTCHA en octubre de 2018. Elimina por completo la necesidad de interrumpir a los usuarios con desafíos a favor de una puntuación (0 a 1) que se devuelve en función del comportamiento de un visitante en el sitio web, todo sin interacción del usuario.
Todo el ataque depende de una investigación denominada «unCaptcha», publicada por investigadores de la Universidad de Maryland en abril de 2017, cuyo objetivo es la versión de audio de reCAPTCHA. Ofrecido por razones de accesibilidad, plantea un desafío de audio, lo que permite a las personas con pérdida de visión reproducir o descargar la muestra de audio y resolver la pregunta.
Para llevar a cabo el ataque, la carga útil de audio se identifica programáticamente en la página utilizando herramientas como Selenium, luego se descarga y se alimenta a un servicio de transcripción de audio en línea como Google Speech-to-Text API, cuyos resultados se utilizan en última instancia para derrotar a la CAPTCHA de audio.
Luego de la divulgación del ataque, Google actualizó reCAPTCHA en junio de 2018 con detección mejorada de bots y soporte para frases habladas en lugar de dígitos, pero no lo suficiente como para frustrar el ataque, ya que los investigadores lanzaron «unCaptcha2» como un PoC con una precisión aún mayor (91 % cuando en comparación con el 85 %) de unCaptcha mediante el uso de un «clic de pantalla para moverse a ciertos píxeles en la pantalla y moverse por la página como un ser humano».
El esfuerzo de Tschacher es un intento de mantener el PoC actualizado y en funcionamiento, lo que permite eludir la versión de audio de reCAPTCHA v2 al aprovechar un bot para simular todo el proceso y vencer las protecciones.
«Aún peor: reCAPTCHA v2 todavía se usa en el nuevo reCAPTCHA v3 como mecanismo de respaldo», señaló Tschacher.
Con reCAPTCHA utilizado por cientos de miles de sitios para detectar el tráfico abusivo y la creación de cuentas de bots, el ataque es un recordatorio de que no siempre es infalible y de las importantes consecuencias que puede tener una omisión.
En marzo de 2018, Google abordó una falla separada en reCAPTCHA que permitía que una aplicación web usara la tecnología para crear una solicitud de «/ recaptcha / api / siteverify» de manera insegura y eludir la protección cada vez.