Обнаружен метод обхода reCAPTCHA с помощью API сервиса для распознавания речи

Исследователь безопасности, известный в Сети как East-EE, обнаружил так называемую «логическую уязвимость», которая позволила ему обойти алгоритм Google reCAPTCHA с помощью другого сервиса компании - API для распознавания речи. Написанный на Python PoC-код, позволяющий автоматизировать процесс обхода reCAPTCHA, уже опубликован на портале для разработчиков GitHub.

East-EE обнаружил уязвимость в 2016 году и, по его словам, проблема все еще остается неисправленной. Известно ли Google об уязвимости, исследователь не уточнил.

Атака, получившая название ReBreakCaptcha, работает только против второй, текущей версии reCAPTCHA. Атака основана на использовании звуковых тестов (дополнительной системы проверки, которая отображается при нажатии на соответствующую кнопку в окне reCAPTCHA). По словам East-EE, ему удалось обработать аудио-файл при помощи API сервиса для распознавания речи и получить звуковые тесты в виде текстовой версии. Далее эксперт ввел текст в поле reCAPTCHA и обошел защиту.

Напомним, в 2016 году группе исследователей также удалось успешно обойти Google reCAPTCHA. Процент успешного обхода защиты составил 70,78% для 2235 CAPTCHA-задач, а среднее время обхода CAPTCHA составило 19,2 сек.