Bug nei ReCaptcha di GOOGLE
Buongiorno cari lettori, oggi parleremo di Google ReCaptcha che un difetto permette ai bot di bypassare la sfida audio captcha.
Secondo i ricercatori, l'idea dell'attacco è quella di prendere il file MP3 del reCAPTCHA audio e sottoporlo alle API Speech to Text di Google.
Sfruttare e patch - una storia infinita nel mondo della sicurezza informatica, a volte con esattamente gli stessi difetti. Nell'ultima, abbiamo una storia riguardante un exploit di Google reCaptcha che è stato trovato più di 3 anni fa, nel 2017, da ricercatori dell'Università del Maryland.
L'exploit utilizzava un meccanismo di speech to text per superare qualsiasi sfida audio (per le persone ipovedenti) che il ReCaptcha gli lanciava contro, rendendo possibile l'aggiramento di tali barriere da parte di script automatizzati. È stato chiamato Uncaptcha, e Google poco dopo lo ha rattoppato.
Ma poi di nuovo nel 2019, modificando l'exploit originale e soprannominato Uncaptcha 2, è stato rimesso in funzione con una prova del concetto che mostrava esattamente come. Anche questo è stato reso inefficace dopo un po' di tempo, poiché i ricercatori non hanno continuato ad aggiornare il loro exploit
Ora, arrivando al 2021, abbiamo la notizia che un altro ricercatore di nome Nikolai Tschacher ha cambiato il codice di UnCaptcha 2 che lo fa funzionare contro l'att.uale reCaptcha V2 di Google. Alcuni potrebbero pensare che con il rilascio di reCaptcha V3, questo sia irrilevante, ma sarebbe falso, dato che un gran numero di siti web utilizza ancora la versione precedente.
Vedi: Apple, Google per vietare le applicazioni di localizzazione di X-Mode dai negozi
Parlando di come ha fatto, a parole sue, l'audio che viene dato da Google per la sfida captcha viene preso in forma Mp3 e poi sottoposto a "Google's own Speech to Text API" che lo traduce in testo con una precisione del 97%.
In un post del blog, il ricercatore ha dichiarato che:
L'idea dell'attacco è molto semplice: Si prende il file mp3 del reCAPTCHA audio e lo si sottopone alla Speech to Text API di Google. Google restituirà la risposta corretta in oltre il 97% dei casi.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
