Σύμφωνα με τους ερευνητές, η ιδέα της επίθεσης είναι η “αρπαγή” του αρχείου MP3 του ήχου reCAPTCHA και η υποβολή του στο API Speech to Text της Google. Exploit και patch – μια ιστορία χωρίς τέλος στον κόσμο της ασφάλειας στον κυβερνοχώρο, μερικές φορές με ακριβώς τα ίδια ελαττώματα. Τελευταία, κυκλοφορεί μια ιστορία σχετικά με ένα exploit Google reCaptcha που βρέθηκε πριν από 3 χρόνια το 2017 από κάποιους ερευνητές που ανήκαν στο Πανεπιστήμιο του Maryland.
Το exploit χρησιμοποίησε έναν μηχανισμό speech to text για να παρακάμψει οποιεσδήποτε ηχητικές προκλήσεις (για άτομα με προβλήματα όρασης) στο ReCaptcha καθιστώντας δυνατό για τα αυτοματοποιημένα scripts να παρακάμψουν τέτοια εμπόδια. Ονομάστηκε Uncaptcha και η Google λίγο αργότερα το διόρθωσε.
Αλλά και πάλι το 2019, η επεξεργασία του original exploit και η μεταγλώττιση του ως uncaptcha 2, ξεκίνησε και λειτούργησε ξανά με ένα proof-of-concept που δείχνει ακριβώς πώς έγινε η διαδικασία. Αυτό έγινε αναποτελεσματικό μετά από λίγο, καθώς οι ερευνητές δεν συνέχισαν να ενημερώνουν το exploit τους.
Τώρα, το 2021, μάθαμε ότι ένας άλλος ερευνητής με το όνομα Nikolai Tschacher άλλαξε τον κώδικα για το UnCaptcha 2, ο οποίος το κάνει να λειτουργεί ενάντια στο τρέχον reCaptcha V2 της Google. Κάποιοι μπορεί να πιστεύουν ότι με την κυκλοφορία του reCaptcha V3, αυτό δεν θα αποτελεί πρόβλημα, αλλά αυτό είναι αναληθές, καθώς ένας μεγάλος αριθμός ιστότοπων εξακολουθεί να χρησιμοποιεί να χρησιμοποιούν την προηγούμενη έκδοση.
Μιλώντας για το πώς το έκανε ο ερευνητής είπε ότι ο ήχος που δίνεται από την Google για την πρόκληση captcha λαμβάνεται σε μορφή Mp3 και στη συνέχεια υποβάλλεται στο “API Speech to Text” της Google που το μεταφράζει σε κείμενο με ακρίβεια 97%.
Εν κατακλείδι, η Google θα πρέπει να διορθώσει το ελάττωμα, αλλά μια για πάντα αυτή τη φορά αφού το ίδιο ελάττωμα χρησιμοποιείται συνεχώς από τους χάκερ.
Πηγή πληροφοριών: hackread.com
