info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

فریب reCAPTCHA گوگل با استفاده از ابزار‌های خود گوگل!

خلاصه: متخصصان امنیت با استفاده از ابزار‌های خود گوگل، reCAPTCHA را که ابزاری برای تشخیص انسان از ربات‌های اینترنتی است را فریب داده‌اند. این آسیب‌پذیری در reCAPTCHA باعث می‌شود ربات‌ها بتوانند آن را دور بزنند و به عنوان انسان شناخته شوند.

تست reCAPTCHA ابزاری است که برای تشخیص انسان از ربات‌های اینترنتی به کار می‌رود. این ابزار که توسط گوگل ارائه شده به صورت گسترده در اینترنت استفاده می‌شود. هدف از استفاده از این ابزار کند کردن کار ربات‌ها و جلوگیری از انجام کار‌های خرابکارانه آن‌ها است.

ربات‌های اینترنتی معمولا اهداف خرابکارانه‌ای دارند. آن‌ها ممکن است اطلاعات تماس را سرقت کنند یا در کارایی سایت اختلال ایجاد کنند. همچنین ممکن است به سایت نفوذ کرده و از آن برای اهداف سودجویانه و یا خرابکارانه خود استفاده کنند. ابزار reCAPTCHA مانعی برای این ربات‌ها است.

در ابزار reCAPTCHA، گوگل سه چالش در نظر گرفته که شما را به عنوان انسان شناسایی کند.

  • چالش تصویر: گوگل تعدادی تصویر به شما نشان داده و از شما می‌خواهد که عکس‌هایی با موضوع مشخص را انتخاب کنید.
  • چالش صدا: گوگل صدایی را پخش می‌کند و از مخاطب می‌خواهد متن خوانده شده را وارد کند.
  • چالش متن: گوگل متن کوتاهی را نشان می‌دهد که به صورت گرافیکی در هم ریخته است و از کاربر می‌خواهد که آن را وارد کند.

اکنون کارشناسان روش‌هایی را یافته‌اند که می‌توانند به چالش‌ها  بدون دخالت انسان پاسخ دهند.

چالش تصویر ابزار reCAPTCHA حدود یک سال پیش فریب داده شد! در این روش محققان با استفاده از ابزار قوی جستجوی تصویر گوگل به صورت مهندسی معکوس این چالش را حل کردند. در این روش تصاویر نشان داده شده در گوگل جستجو شده و عبارت مورد نظر به دست می‌آید. در این روش با دقت هفتاد درصد به این چالش بدون دخالت انسان پاسخ داده می‌شود.

اما اکنون چالش صدا هم توسط یک محقق حل شده. این بار باز هم از خود گوگل برای حل این چالش استفاده شده است. با این روش به سادگی reCAPTCHA نسخه ۲ دور زده می‌شود. در این روش طی سه مرحله چالش صدا به صورت زیرکانه‌ای پاسخ داده می‌شود:

  1. روبرو شدن با چالش: چالش reCAPTCHA را به سمت چالش صدا هدایت کرده و صدای چالش را دانلود می‌کنیم.
  2. تشخیص: این فایل صوتی را به فرمت مناسب تبدیل کرده و به ابزار تشخیص صدای گوگل داده می‌شود.
  3. تایید هویت: با استفاده از ابزار تشخیص صدا متن مورد نظر به دست آمده و به تست reCAPTCHA داده شده و تایید هویت صورت می‌گیرد.

همه این مراحل با یک کد پایتون انجام می‌گیرد که از کتابخانه‌ی تشخیص صحبت استفاده می‌کند. این کتابخانه ابزار‌های آنلاین و آفلاین قدرتمندی برای تشخیص صحبت دارد.

گوگل اکنون روی روش جدیدی برای CAPTCHA کار می‌کند که به آن CAPTCHAی مخفی گفته می‌شود. در این روش تنها یک گزینه برای کلیک وجود دارد. با کلیک روی این گزینه هویت انسانی مشخص می‌شود. در واقع قبل از کلیک حرکت نشان‌گر موس در چند لحظه قبل بررسی شده و مشخص می‌شود که این رفتار انسان است و یا یک ربات اینترنتی. در این حالت دیگر این فریب‌ها کارساز نخواهد بود.