ابداعِ روشی برای حملات گسترده علیه ریکپچاهای گوگل و فیسبوک

گروهی از پژوهش‌گران امنیتی، آسیب‌پذیری‌هایی را در سامانه‌های ریکپچا در فیس‌بوک و گوگل پیدا کرده‌اند،‌و بر این اساس حمله‌ای را سازماندهی کرده‌اند که با درصد بالایی از موفقیت به صورت خودکار سامانه حفاظت آن‌ها را دور می‌زند. این پژوهش در کنفرانس بلک‌هت ۲۰۱۶ که هفته‌ی گذشته در سنگاپور برگزار شد ارائه شده است.
بر اساس گفته‌های این پژوهش‌گران، آن‌ها نقص‌هایی را یافته‌اند که به مهاجم اجازه می‌دهد تا به راحتی خطر را تحلیل کرده، از محدودیت‌ها بگذرد و حملاتی در مقیاس وسیع انجام دهد. علاوه بر این آن‌ها موفق شده‌اند تا حمله خود را بر اساس فناوری یادگیری عمیق برای «توضیح معنایی تصاویر» بنا کنند و می‌گویند که نه تنها مؤثر است بلکه حتی مؤثرتر از خدمات حل تصاویر امنیتی کپچاهای موجود است.

پژوهش‌گرانی دانشکده کامپیوتر دانشگاه کلمبیا، علاوه بر این مجموعه‌ای از تدابیر حفاظتی و تغییراتی را پیشنهاد کرده‌اند که تأثیر چنین حملاتی را کمتر کرده و آن‌ها را پر هزینه‌تر می‌کند.
این تحقیق بر سامانه ریکپچای شرکت گوگل تمرکز کرده است که بر پایه «تجزیه و تحلیل پیشرفته خطر» بنا شده است، به این معنا که درخواست‌ها برای تعیین سختی تصاویر امنیتی بازگردانده شده را ارزیابی می‌کند. هنگامی که در حالت برون‌خط (آفلاین) مورد آزمایش قرار گرفت، سامانه نفوذ به کپچا، ۴۱٫۵۷درصد دقت را در ۲۰٫۹ ثانیه در هر چالش را از خود نشان داد.
این حمله به ۲۲۳۵ مورد از تصاویر امنیتی گوگل قادر بود تا به طور خودکار ۷۰٫۷۸ درصد از چالش‌های ریکپچا را با نرخ ۱۹ ثانیه در هر چالش حل کند. اگر چه با تمرکز بر ریکپچا این حمله می‌توانست به سایر سامانه‌ها نیز به خوبی حمله کند و پژوهش‌گرات آن را در برابر تصاویر امنیتی جدید فیس‌بوک نیز آزمایش کردند، که در ۲۰۰ تصویر به دقت ۸۳٫۵ درصد دست یافتند.
دقت کمتر در هنگام مواجه به ریکپچاهای گوگل به این خاطر است که این غول اینترنتی از تصاویر با کیفیت کمتر استفاده می‌کند به طوریکه برخی از آن‌ها حتی برای چشم‌های انسان نیز قابل تمایز و تشخیص نیستند. اما فیس‌بوک از طرف دیگر، از تصاویر با کیفیت بالا استفاده می‌کند که آسان‌تر قابل ارزیابی و شکستن هستند.

بعد از تعیین دقت سامانه، محققان شروع به مقایسه آن با سایر سامانه‌های نفوذ به تصاویر امنیتی کردند تا ارزیابی بهتری از بهره‌وری هزینه آن به عمل آورند.
این سامانه، در برابر Decaptcher که یک حل‌کننده تصاویر کپچا است و دو دلار در هر هزار کپچای حل شده هزینه دارد و دقتی برابر ۴۴٫۳ دارد، بهتر عمل می‌کند.
بر اساس گفته‌های محققان، آن‌ها یافته‌های خود را به گوگل اعلام کردند، که مجموعه‌ای از اصلاحات را برای محافظت از سامانه ریکپچای خود و فرایند تجزیه و تحلیل آن انجام داده است. به فیس‌بوک نیز در مورد مشکلات کشف شده اطلاع‌رسانی صورت گرفته است، اما این شرکت هیچگونه تغییری را در سامانه کپچای خود اعلام نکرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.