با استفاده از ابزارهای گوگل، سامانه‌ی ری‌کپچای این شرکت دور زده شد

روز سه‌شنبه اثبات مفهومی برای دور زدن سامانه‌ی اعتبارسنجی ری‌کپچای گوگل به‌طور برخط منتشر شده است. این سامانه با استفاده از سرویس‌های مبتنی بر وب گوگل دور زده می‌شود.

به گزارش محقق امنیتی که این ابزار را توسعه داده، این ابزار با نام ReBreakCaptcha می‌تواند نسخه‌ی ۲ ری‌کپچای گوگل را در هر جای وب دور بزند. گوگل سرویس ری‌کپچا را در سال ۲۰۱۴ معرفی کرد. این سامانه تلاش دارد از ایجاد صدها حساب کاربری به‌طور همزمان توسط بات‌ها و اسکریپت‌ها جلوگیری کند.

کپچا یک سرویس کاملاً خودکار است که تلاش دارد بین انسان و ماشین تمایز قائل شود. ری‌کپچا نامی است که گوگل برای سرویس و فناوری خود انتخاب کرده که در حال حاضر از متن، تصویر و صوت به‌عنوان چالش‌ استفاده می‌کند تا مطمئن شود واقعاً یک انسان می‌خواهد وارد حساب کاربری شود.

شرکت گوگل دارای واسط برنامه‌نویسی است که کاربران با استفاده از آن می‌توانند چالش‌های کپچای صوتی را در قالب پرونده‌های صوتی ذخیره‌ کنند. توسعه‌دهنده‌ی ابزار ReBreakCaptcha با استفاده از این واسط برنامه‌نویسی توانسته است نسخه‌ی ۲ ری‌کپچا را بشکند. او در ادامه از روش‌های تبدیل گفتار به متن استفاده کرده و متن بدست آمده را در فیلد متنی ری‌کپچا وارد می‌کند.

در اولین قدم، این محقق باید بتواند به چالش صوتی دست یابد که این کار بسیار راحت است و با کلیک بر روی نشانگر هدفون که در زیر کپچا وجود دارد، می‌تواند به درخواست چالش صوتی دست یابد. این محقق می‌گوید: «شاید برخی از شما متوجه شده باشید که بعضی وقت‌ها بجای چالش صوتی، یک متن نمایش داده می‌شود. برای دور زدن این متن و بدست آوردن چالش صوتی، می‌توانید بر روی گزینه‌ی «بارگیری مجدد چالش» کلیک کنید تا به نتیجه‌ی مطلوب خود برسید.»

زمانی که چالش صوتی نمایش داده شد، سامانه‌ی ری‌کپچا به شما اجازه می‌دهد آن را اجرا کنید و یا بارگیری نمایید. توسعه‌دهنده‌ی این ابزار می‌نویسد: «بیایید این پرونده‌ی صوتی را بارگیری کرده و آن را برای واسط برنامه‌نویسی تشخیص گفتار گوگل ارسال کنید. لازم به‌ذکر است قبل از انجام این کار، باید فرمت پرونده‌ی صوتی را به wav تبدیل کنید چرا که این از ملزومات سرویس تشخیص گفتار گوگل است. چگونه می‌توان پرونده‌ی صوتی را به سرویس تشخیص گفتار گوگل ارسال کرد؟ با استفاده از واسط برنامه‌نویسیِ گوگل»

او در ادامه توضیح می‌دهد: «پس از ارسال پرونده‌ی wav به سرویس تشخیص گفتار گوگل، خروجی را در قالب متن دریافت خواهیم کرد. این خروجی، نتیجه‌ی مطلوب ما برای حل کردن چالش صوتی است.» بر روی گیت‌هاب، کد مفهومی این سامانه در قالب اسکریپت پایتون منتشر شده است.

این اولین بار نیست که سامانه‌ی ری‌کپچای گوگل دور زده می‌شود. سال گذشته در کنفرانس کلاه سیاه‌های آسیا، محققان از دانشگاه کلمبیا مقاله‌ای با عنوان «من انسان نیستم: دور زدن سامانه‌ی ری‌کپچای گوگل» منتشر کردند. در این مقاله برای دور زدن ری‌کپچا از تشخیص ویژگی‌ها و رفتارهای مشکوک مرورگرها استفاده شده بود. همچنین در این پژوهش از شناسایی و پیش‌بینی تصاویر در ری‌کپچا نیز استفاده شده بود. به‌گفته‌ی نویسندگان این مقاله، روش آن‌ها می‌تواند با دقت ۷۰.۷۸ درصد ری‌کپچاهای تصویری را حل کند و برای حل هر چالش تقریباً به ۱۹ ثانیه زمان نیاز داشت.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.