Исследователи взломали популярные аудио-капчи

Группа исследователей из Стэнфордского университета, Университета Тулейна и французского института INRIA разработала систему Decaptcha, без особых проблем справляющуюся с большинством современных аудио-капч.

Как сообщается, в ходе исследования были изучены аудио-капчи сервисов eBay, Yahoo, Digg, Authorize.net, Live.com и reCAPTCHA. Все эти капчи используют один или несколько голосов, произносящих последовательность фиксированного количества цифр или же цифр с буквами. На некоторые из них накладывается звуковой шум того или иного характера.

Исследователями был разработан алгоритм, который, после процесса обучения (подстройки под каждую из систем аудио-капч), способен самостоятельно взламывать их с большой долей вероятности. Исследователи пояснили, что поскольку у злоумышленников часто имеются в распоряжении ботнеты, даже одна успешная попытка из ста считалась бы хорошим результатом. Однако рубеж в 1% во многих случаях они преодолели с лихвой.

Наименее устойчивой ко взлому оказалась аудио-капча Authorize, состоящая из 5 цифр или букв, которые чётко произносятся женским голосом: точность автоматического распознавания такой капчи составила 89%. Затем идут eBay c 82%, Microsoft Live (48,9%), Yahoo! (45,45%) и Digg (41%).

Самой надежной оказалась reCAPTCHA от Google. Decaptcha справляется с этой системой лишь в 1,5% случаев, благодаря использующемуся в ней особому "шуму". Помимо идущего фоном голосового общения, здесь присутствует звуковой сигнал, который для алгоритма выглядит как лишние цифры (в форме волны). На семантическом же уровне эти сигналы удаётся отсеять.

Исследователи рекомендуют разработчикам аудио-капч изучить возможности добавления в них такого рода "семантических шумов". Впрочем, сами они тоже собираются плотнее заняться этими шумами, так что, возможно, в будущем и такую защиту им удастся обойти. Кроме того, они планируют изучать и капчи, содержащие целые слова, а не отдельные буквы.