Se ha descubierto que una técnica de ataque de hace tres años para eludir el audio reCAPTCHA de Google mediante el uso de su propia API Speech-to-Text todavía funciona con un 97% de precisión.
El investigador Nikolai Tschacher reveló sus hallazgos en una prueba de concepto (PoC) del ataque el 2 de enero.
«La idea del ataque es muy simple: toma el archivo MP3 del audio reCAPTCHA y lo envía a la propia API de voz a texto de Google», dijo Tschacher en un artículo. «Google devolverá la respuesta correcta en más del 97% de todos los casos».
Introducido en 2014, CAPTCHA (o prueba de Turing pública completamente automatizada para diferenciar a las computadoras y los humanos) es un tipo de prueba de desafío-respuesta diseñada para proteger contra la creación automatizada de cuentas y el abuso del servicio al presentar a los usuarios una pregunta que es fácil de resolver para los humanos pero difícil para las computadoras.
reCAPTCHA es una versión popular de la tecnología CAPTCHA que fue adquirida por Google en 2009. El gigante de las búsquedas lanzó la tercera iteración de reCAPTCHA en octubre de 2018. Elimina por completo la necesidad de interrumpir a los usuarios con desafíos a favor de una puntuación (0 a 1) que se devuelve en función del comportamiento de un visitante en el sitio web, todo sin la interacción del usuario.
Todo el ataque depende de una investigación denominada » unCaptcha » , publicada por investigadores de la Universidad de Maryland en abril de 2017, dirigida a la versión de audio de reCAPTCHA. Ofrecido por razones de accesibilidad, plantea un desafío de audio, ya que permite a las personas con pérdida de visión reproducir o descargar la muestra de audio y resolver la pregunta.
Para llevar a cabo el ataque , la carga útil de audio se identifica mediante programación en la página utilizando herramientas como Selenium, luego se descarga y se alimenta a un servicio de transcripción de audio en línea como la API de Google Speech-to-Text, cuyos resultados se utilizan en última instancia para derrotar a la CAPTCHA de audio.
Tras la divulgación del ataque, Google actualizó reCAPTCHA en junio de 2018 con una mejor detección de bots y soporte para frases habladas en lugar de dígitos, pero no lo suficiente para frustrar el ataque, ya que los investigadores lanzaron » unCaptcha2 » como PoC con una precisión aún mayor (91% en comparación con el 85% de UnCaptcha) mediante el uso de un «clicker de pantalla para moverse a ciertos píxeles en la pantalla y moverse por la página como un humano».
El esfuerzo de Tschacher es un intento de mantener el PoC actualizado y funcionando, lo que hace posible eludir la versión de audio de reCAPTCHA v2 por
«Aún peor: reCAPTCHA v2 todavía se usa en el nuevo reCAPTCHA v3 como un mecanismo de respaldo», señaló Tschacher.
Con reCAPTCHA utilizado por cientos de miles de sitios para detectar tráfico abusivo y creación de cuentas de bots, el ataque es un recordatorio de que no siempre es infalible y de las importantes consecuencias que puede plantear una omisión.
En marzo de 2018, Google abordó una falla separada en reCAPTCHA que permitía que una aplicación web que usaba la tecnología creara una solicitud a «/ recaptcha / api / siteverify» de manera insegura y evitara la protección en todo momento.
