美国马里兰大学的四位研究员开源了一个名为 UnCaptcha 的工具, 能够破解谷歌的验证码系统 ReCaptcha, 其进行语音验证的准确率高达 85%.
与众多验证机制一样, 早期的 ReCaptcha 系统通过数字验证码进行识别, 以此确保操作方是人类而非机器人. 但是, 2012 年一个谷歌研究团队几乎百分之百破解了其文本验证码系统. 于是谷歌在这之后的升级版当中加入了语音和图像验证的方式.
如今, 上述验证方式再次遭遇巨大挑战."谷歌的 ReCaptcha 系统使用了一些高级的分析工具来判断一个用户到底是人还是机器人. 他们使用了多种元素, 包括 cookie, 解题的速度, 鼠标的移动以及解题的成功率."
▲UnCaptcha 工具测试界面
据该项目负责人称:"ReCaptcha 系统的语音识别体制由一长串数字读音组成, 每个字的语速, 音调都不相同, 甚至还会改变口音. 为了解析这些数字, 首先需要从网页上将音频文件下载下来, 再导入到在线的语音识别工具中 (比如 IBM, 谷歌云, 谷歌语音识别, Sphinx,Wit-AI, 微软 Bing 语音识别) 进行识别, 再将解析后的结果嵌入验证框即可通过验证."
目前, UnCaptcha 工具已经在著名的 Reddit 网站进行实验. 据悉, 实验者在进行用户注册那一步的时候终止了实验, 这也是为了不给该网站增添不必要的运营风险.
"实验结果非常明显, UnCaptcha 在识别数字方面的准确率高达 92%, 整体语音识别准确率达到了 85%." 雷锋网 (公众号: 雷锋网) 获悉, 该工具的发明者在一份声明中称:"这种工具能够破解最新版的 ReCaptcha, 但这仅限于在自己网站上使用且仅用于教育目的."
得到破解技术后, 该负责人第一时间通知了谷歌并督促对现有验证方式进行升级. 目前, UnCaptcha 工具已经开源, 并被托管在 GitHub 上提供了安装使用示例.
在 GitHub 上, 吃瓜群众们也针对此事展开讨论. 有网友称:"此项目中的核心破解技巧使用到了各家的语音识别技术, 这其中也包括谷歌, 这让人看起来多少有点'搬起石头砸自己脚'的意味."
来源: http://news.51cto.com/art/201901/589667.htm