Lợi dụng tính năng chuyển giọng nói thành văn bản để vượt qua reCAPTCHA của Google

14:00 | 20/01/2021 | HACKER / MALWARE

Một kỹ thuật tấn công tồn tại ba năm qua có thể giúp tin tặc vượt qua reCAPTCHA âm thanh của Google, bằng cách sử dụng API chuyển giọng nói thành văn bản của chính Google với độ chính xác lên tới 97%.

Lợi dụng tính năng chuyển giọng nói thành văn bản để vượt qua reCAPTCHA của Google

Nguồn gốc của CAPTCHA

Được giới thiệu vào năm 2014, CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) là một loại thử thách phản hồi được thiết kế để bảo vệ chống lại việc tạo tài khoản tự động và lạm dụng dịch vụ, bằng cách đưa ra cho người dùng một câu hỏi mà con người dễ giải nhưng khó đối với máy tính.

Thuật toán được sử dụng để tạo CAPTCHA phải được công khai mặc dù nó có thể được cấp bằng sáng chế. Điều này được thực hiện để chứng minh rằng việc phá vỡ nó cần một giải pháp trong lĩnh vực trí tuệ nhân tạo chứ không chỉ là khám phá ra thuật toán, có thể thu được thông qua kỹ thuật đảo ngược hoặc các phương tiện khác.

Dịch vụ reCAPTCHA là phiên bản phổ biến của công nghệ CAPTCHA đã được Google mua lại vào năm 2009. Gã khổng lồ tìm kiếm sau đó đã phát triển và phát hành phiên bản thứ ba của reCAPTCHA vào tháng 10/2018. Phiên bản này loại bỏ hoàn toàn vấn đề gây khó chịu cho người dùng bằng các thử thách với một điểm số (0 đến 1) được trả lại dựa trên hành vi của người dùng truy cập trên trang web. Tất cả đều không có sự tương tác của người dùng.

Vượt qua reCAPTCHA bằng chính dịch vụ của Google

Nhà nghiên cứu Nikolai Tschacher đã công bố những phát hiện của mình với một chứng minh về việc vượt qua reCAPTCHA âm thanh vào ngày 02/01/2021.

“Ý tưởng của cuộc tấn công rất đơn giản. Bạn lấy tệp MP3 của reCAPTCHA âm thanh và gửi nó tới API chuyển giọng nói thành văn bản của chính Google. Google sẽ trả lại câu trả lời đúng trong hơn 97% trường hợp", Tschacher cho biết.

Toàn bộ cách thức vượt qua reCAPTCHA xoay quanh nghiên cứu được đặt tên là "unCaptcha", được công bố bởi các nhà nghiên cứu của Đại học Maryland vào tháng 4/2017 nhằm vào phiên bản âm thanh của reCAPTCHA. Tính năng này được tồn tại vì lý do trợ năng, nó đặt ra một thách thức về âm thanh, cho phép những người bị suy giảm thị lực phát hoặc tải xuống mẫu âm thanh và giải quyết câu hỏi.

Để thực hiện cuộc tấn công, tập tin âm thanh được tải về sử dụng công cụ như Selenium và đưa vào một dịch vụ hỗ trợ chuyển hóa âm thanh trực tuyến như Google Speech-to-Text API, kết quả cuối cùng được sử dụng để đánh bại âm thanh CAPTCHA.

Sau thời điểm công bố nghiên cứu, Google đã cập nhật reCAPTCHA vào tháng 6/2018 với tính năng phát hiện bot được cải thiện và hỗ trợ các cụm từ thay vì chữ số, nhưng không đủ để ngăn chặn cuộc tấn công - vì các nhà nghiên cứu đã phát hành "unCaptcha2" như một bằng chứng (Proof of Concept - PoC) với độ chính xác thậm chí còn tốt hơn (91% khi so với 85% của unCaptcha) bằng cách sử dụng "trình nhấp màn hình để di chuyển đến các pixel nhất định trên màn hình và di chuyển xung quanh trang như con người".

Nghiên cứu của Tschacher chỉ ra rằng kỹ thuật vượt qua reCAPTCHA vẫn có hiệu quả với phiên bản reCAPTCHA v3 vì Google đã giữ lại reCAPTCHAv2 như một cách dự phòng. Nhà nghiên cứu đang nỗ lực giữ cho công cụ unCaptcha2 luôn cập nhật và hoạt động với phiên bản mới nhất của reCAPTCHA.

Với reCAPTCHA được sử dụng bởi hàng trăm nghìn trang web để phát hiện lưu lượng truy cập lạm dụng và tạo tài khoản bot, nghiên cứu này là một lời nhắc nhở rằng nó không phải lúc nào cũng an toàn và về những hậu quả đáng kể nếu không chú ý đến.

Đăng Thứ (The Hacker News)

‹ › ×

Tin liên quan

Các thiết bị điều khiển bằng giọng nói có thể bị tấn công bằng ánh sáng laser

09:00 | 29/11/2019

Một nhóm các nhà nghiên cứu an ninh mạng vừa phát hiện ra một kỹ thuật thông minh để gửi các lệnh vô hình, không nghe được vào các thiết bị điều khiển bằng giọng nói thông qua việc chiếu tia laser vào thiết bị cần điều khiển, thay vì sử dụng lời nói.

Tội phạm sử dụng giọng nói AI để đánh cắp tiền

15:00 | 21/10/2019

Nhật báo The Wall Street Journal đưa tin, tội phạm mạng đã giả mạo thành công giọng nói của giám đốc điều hành của một công ty năng lượng để yêu cầu chuyển khoản khẩn cấp 243.000 USD trong một cuộc tấn công lừa đảo.

Tấn công CAPTCHA và cách phòng chống

09:19 | 12/04/2016

CAPTCHA (Completely Automated Public Turing Tests to Tell Computers and Humans Apart), là thuật ngữ dùng để chỉ nhóm các kỹ thuật giúp phân biệt người dùng thực sự với những công cụ tự động thường được dùng để gửi thư rác hay tấn công các website. Có rất nhiều động lực khác nhau trong việc tự động hóa các cuộc tấn công nhằm vào các website như: Quảng cáo quy mô lớn; Can thiệp vào các hệ thống bình chọn trực tuyến; Tấn công từ chối dịch vụ các website; Tạo ra các liên kết giả để nâng hạng của website trong các máy tìm kiếm; Truy cập thông tin bí mật hoặc lây lan mã độc....

Deep learning ứng dụng trong nghiệp vụ nhận dạng văn bản

17:00 | 15/04/2021

Lĩnh vực nhận dạng ký tự văn bản đang ngày càng phát triển nhờ những ứng dụng thực tiễn trong đời sống và nhờ việc ứng dụng trí tuệ nhân tạo, đang ngày càng chứng minh được tính ưu việt với tốc độ nhanh, độ chính xác cao. Để phân tích cách thức làm việc, các thuật toán sử dụng, mô hình học sâu, chúng tôi tập trung khai thác thư viện Tesseract 4 [4], là thư viện mã nguồn mở triển khai các thuật toán và mô hình học sâu trong lĩnh vực nhận dạng văn bản mang lại hiệu quả cao. Để chứng minh hiệu quả sử dụng đối với văn bản thường và văn bản có định dạng đặc thù riêng, chúng tôi tiến hành đánh giá kết quả nhận dạng đối với văn bản thông thường và văn bản có định dạng đặc thù riêng trong các trường hợp sử dụng. Kết quả cho thấy đối với văn bản thông thường, Tesseract 4 hoạt động rất tốt trong hầu hết các trường hợp.

Podec - Trojan đầu tiên vượt qua CAPTCHA

10:35 | 01/04/2015

Các chuyên gia của Kaspersky Lab đã phát hiện mầm mống của một loại trojan chuyên về tin nhắn SMS vào cuối năm 2014. Đầu năm 2015, họ đã ngăn chặn một phiên bản đầy đủ chính thức của Trojan-SMS.AndroidOS.Podec.

Tin cùng chuyên mục

Gia tăng các hình thức lừa đảo trực tuyến

09:00 | 19/04/2024

Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Giải mã chiến dịch Operation Blacksmith: Nhóm tin tặc Triều Tiên Lazarus sử dụng phần mềm độc hại mới dựa trên DLang

07:00 | 27/12/2023

Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.