unCaptcha 自动化系统仍然能绕过谷歌的 reCAPTCHA 机制,尽管后者已经做出重大更新。

不知绕过谷歌 reCAPTCHA 机制

unCaptcha 系统创建于2017年4月,专门针对的是旨在保护网站免受垃圾邮件和滥用的谷歌 reCAPTCHA (机器人识别)机制和类似的安全系统。unCaptcha 绕过这些安全系统的准确率较高。

马里兰大学的计算机科学专家披露unCaptcha 系统后,谷歌更新了 reCAPTCHA 机制以缓解攻击,但 unCaptcha更新后仍能绕过这些缓解措施。

unCaptcha 系统旨在针对 reCAPTCHA 带来的音频问题,但设计该系统的安全专家表示它还能绕过其它系统,如 BotDetect、雅虎和 PayPal 的图片挑战,而且准确率都较高。

reCAPTCHA 更新后更易被绕过

为缓解该攻击,谷歌改进了 reCAPTCHA 的浏览器自动化检测机制,并从口语数字改成口语词。这两大更改成功了防御了原来的unCaptcha 攻击。

然而,2018年6月,unCaptcha 更新后能够再次绕过这些措施。另外,该系统的准确性和效率也有所提升。

unCaptcha 系统的安全专家表示好,“得益于音频挑战带来的挑战,绕过 reCaptcha 反而要比原来更容易。现在代码只需向免费且公开可获取的语音转换文本 API 发出一个请求就能在所有的机器人识别技术上实现约90%的准确率。”

然而,reCAPTCHA 无法再被 Selenium 浏览器自动化引擎绕过。unCaptcha 转而使用屏幕点击工具转向屏幕上的某些像素来模拟页面上的人类活动。

更新后,unCaptcha 的工作方式更加直接:它导航至谷歌的 ReCaptcha 演示网站,之后导航至音频挑战、下载挑战并将其提交至语音转换文本、解析响应并输入答案,点击提交并查看攻击是否成功。

PoC 尚未公开

reCAPTCHA 团队在2018年6月收到研究人员报告,并在2018年6月27日正式立项。安全专家决定等待6个月之后再公开研究成果,以便谷歌能够有足够的时间解决底层架构问题。

安全专家表示,“Recaptcha 团队意识到了该攻击向量问题,并确认尽管绕过成功率高,但仍然同意公开代码。该攻击向量被认为未被包含在漏洞奖励计划中。”

2018年10月,谷歌宣布推出 reCAPTCHA v3,主要是通过在后台运行适应性风险分析来改进用户体验,并通过分数通知网站所有人某些交互的可疑程度有多高。

新的 unCaptcha 变体 PoC 在谷歌对服务做出改变之前不会发布。也就是说 PoC 代码随时都有可能崩溃。安全专家们还从所有必要的查询中删除了 API 密钥。

原文来自:http://www.codesafe.cn/index.php?r=news/detail&id=4644

本文地址:https://www.linuxprobe.com/paypal-bypass.html编辑:薛鹏旭,审核员:逄增宝

Linux命令大全:https://www.linuxcool.com/

Linux系统大全:https://www.linuxdown.com/

红帽认证RHCE考试心得:https://www.rhce.net/