Исследователь информационной безопасности East-EE выяснил, как можно обойти алгоритм Google reCAPTCHA, используя другой сервис компании – API для распознавания речи.
Написанный на Python PoC-код, который позволяет осуществить автоматизировацию процедуры обхода reCAPTCHA, уже размещен на GitHub.
East-EE выявил уязвимость в минувшем году. Как утверждает исследователь, проблему до сих пор не устранили. При этом East-EE не уточнил, знают ли в Google об этой уязвимости.
Атака, названная ReBreakCaptcha, работает лишь в случае со второй версией reCAPTCHA. В рамках атаки применяются звуковые тесты – дополнительная система проверки, отображающаяся при нажатии на соответствующую кнопку в окне reCAPTCHA. Как утверждает East-EE, он обработал аудиофайл, используя API сервиса для распознавания речи, и смог заполучить текстовую версию звуковых тестов. Затем эксперт добавил полученный текст в поле reCAPTCHA, что позволило ему обойти защиту.