Lợi dụng tính năng chuyển giọng nói thành văn bản để vượt qua reCAPTCHA của Google

14:00 | 20/01/2021 | HACKER / MALWARE

Một kỹ thuật tấn công tồn tại ba năm qua có thể giúp tin tặc vượt qua reCAPTCHA âm thanh của Google, bằng cách sử dụng API chuyển giọng nói thành văn bản của chính Google với độ chính xác lên tới 97%.

Lợi dụng tính năng chuyển giọng nói thành văn bản để vượt qua reCAPTCHA của Google

Nguồn gốc của CAPTCHA

Được giới thiệu vào năm 2014, CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) là một loại thử thách phản hồi được thiết kế để bảo vệ chống lại việc tạo tài khoản tự động và lạm dụng dịch vụ, bằng cách đưa ra cho người dùng một câu hỏi mà con người dễ giải nhưng khó đối với máy tính.

Thuật toán được sử dụng để tạo CAPTCHA phải được công khai mặc dù nó có thể được cấp bằng sáng chế. Điều này được thực hiện để chứng minh rằng việc phá vỡ nó cần một giải pháp trong lĩnh vực trí tuệ nhân tạo chứ không chỉ là khám phá ra thuật toán, có thể thu được thông qua kỹ thuật đảo ngược hoặc các phương tiện khác.

Dịch vụ reCAPTCHA là phiên bản phổ biến của công nghệ CAPTCHA đã được Google mua lại vào năm 2009. Gã khổng lồ tìm kiếm sau đó đã phát triển và phát hành phiên bản thứ ba của reCAPTCHA vào tháng 10/2018. Phiên bản này loại bỏ hoàn toàn vấn đề gây khó chịu cho người dùng bằng các thử thách với một điểm số (0 đến 1) được trả lại dựa trên hành vi của người dùng truy cập trên trang web. Tất cả đều không có sự tương tác của người dùng.

Vượt qua reCAPTCHA bằng chính dịch vụ của Google

Nhà nghiên cứu Nikolai Tschacher đã công bố những phát hiện của mình với một chứng minh về việc vượt qua reCAPTCHA âm thanh vào ngày 02/01/2021.

“Ý tưởng của cuộc tấn công rất đơn giản. Bạn lấy tệp MP3 của reCAPTCHA âm thanh và gửi nó tới API chuyển giọng nói thành văn bản của chính Google. Google sẽ trả lại câu trả lời đúng trong hơn 97% trường hợp", Tschacher cho biết.

Toàn bộ cách thức vượt qua reCAPTCHA xoay quanh nghiên cứu được đặt tên là "unCaptcha", được công bố bởi các nhà nghiên cứu của Đại học Maryland vào tháng 4/2017 nhằm vào phiên bản âm thanh của reCAPTCHA. Tính năng này được tồn tại vì lý do trợ năng, nó đặt ra một thách thức về âm thanh, cho phép những người bị suy giảm thị lực phát hoặc tải xuống mẫu âm thanh và giải quyết câu hỏi.

Để thực hiện cuộc tấn công, tập tin âm thanh được tải về sử dụng công cụ như Selenium và đưa vào một dịch vụ hỗ trợ chuyển hóa âm thanh trực tuyến như Google Speech-to-Text API, kết quả cuối cùng được sử dụng để đánh bại âm thanh CAPTCHA.

Sau thời điểm công bố nghiên cứu, Google đã cập nhật reCAPTCHA vào tháng 6/2018 với tính năng phát hiện bot được cải thiện và hỗ trợ các cụm từ thay vì chữ số, nhưng không đủ để ngăn chặn cuộc tấn công - vì các nhà nghiên cứu đã phát hành "unCaptcha2" như một bằng chứng (Proof of Concept - PoC) với độ chính xác thậm chí còn tốt hơn (91% khi so với 85% của unCaptcha) bằng cách sử dụng "trình nhấp màn hình để di chuyển đến các pixel nhất định trên màn hình và di chuyển xung quanh trang như con người".

Nghiên cứu của Tschacher chỉ ra rằng kỹ thuật vượt qua reCAPTCHA vẫn có hiệu quả với phiên bản reCAPTCHA v3 vì Google đã giữ lại reCAPTCHAv2 như một cách dự phòng. Nhà nghiên cứu đang nỗ lực giữ cho công cụ unCaptcha2 luôn cập nhật và hoạt động với phiên bản mới nhất của reCAPTCHA.

Với reCAPTCHA được sử dụng bởi hàng trăm nghìn trang web để phát hiện lưu lượng truy cập lạm dụng và tạo tài khoản bot, nghiên cứu này là một lời nhắc nhở rằng nó không phải lúc nào cũng an toàn và về những hậu quả đáng kể nếu không chú ý đến.

Đăng Thứ (The Hacker News)

‹ › ×

Tin liên quan

Các thiết bị điều khiển bằng giọng nói có thể bị tấn công bằng ánh sáng laser

09:00 | 29/11/2019

Một nhóm các nhà nghiên cứu an ninh mạng vừa phát hiện ra một kỹ thuật thông minh để gửi các lệnh vô hình, không nghe được vào các thiết bị điều khiển bằng giọng nói thông qua việc chiếu tia laser vào thiết bị cần điều khiển, thay vì sử dụng lời nói.

Tội phạm sử dụng giọng nói AI để đánh cắp tiền

15:00 | 21/10/2019

Nhật báo The Wall Street Journal đưa tin, tội phạm mạng đã giả mạo thành công giọng nói của giám đốc điều hành của một công ty năng lượng để yêu cầu chuyển khoản khẩn cấp 243.000 USD trong một cuộc tấn công lừa đảo.

Tấn công CAPTCHA và cách phòng chống

09:19 | 12/04/2016

CAPTCHA (Completely Automated Public Turing Tests to Tell Computers and Humans Apart), là thuật ngữ dùng để chỉ nhóm các kỹ thuật giúp phân biệt người dùng thực sự với những công cụ tự động thường được dùng để gửi thư rác hay tấn công các website. Có rất nhiều động lực khác nhau trong việc tự động hóa các cuộc tấn công nhằm vào các website như: Quảng cáo quy mô lớn; Can thiệp vào các hệ thống bình chọn trực tuyến; Tấn công từ chối dịch vụ các website; Tạo ra các liên kết giả để nâng hạng của website trong các máy tìm kiếm; Truy cập thông tin bí mật hoặc lây lan mã độc....

Deep learning ứng dụng trong nghiệp vụ nhận dạng văn bản

17:00 | 15/04/2021

Lĩnh vực nhận dạng ký tự văn bản đang ngày càng phát triển nhờ những ứng dụng thực tiễn trong đời sống và nhờ việc ứng dụng trí tuệ nhân tạo, đang ngày càng chứng minh được tính ưu việt với tốc độ nhanh, độ chính xác cao. Để phân tích cách thức làm việc, các thuật toán sử dụng, mô hình học sâu, chúng tôi tập trung khai thác thư viện Tesseract 4 [4], là thư viện mã nguồn mở triển khai các thuật toán và mô hình học sâu trong lĩnh vực nhận dạng văn bản mang lại hiệu quả cao. Để chứng minh hiệu quả sử dụng đối với văn bản thường và văn bản có định dạng đặc thù riêng, chúng tôi tiến hành đánh giá kết quả nhận dạng đối với văn bản thông thường và văn bản có định dạng đặc thù riêng trong các trường hợp sử dụng. Kết quả cho thấy đối với văn bản thông thường, Tesseract 4 hoạt động rất tốt trong hầu hết các trường hợp.

Podec - Trojan đầu tiên vượt qua CAPTCHA

10:35 | 01/04/2015

Các chuyên gia của Kaspersky Lab đã phát hiện mầm mống của một loại trojan chuyên về tin nhắn SMS vào cuối năm 2014. Đầu năm 2015, họ đã ngăn chặn một phiên bản đầy đủ chính thức của Trojan-SMS.AndroidOS.Podec.

Tin cùng chuyên mục

Thêm vụ tấn công mã hóa dữ liệu giống VnDirect, tin tặc đòi 140 triệu USD

10:00 | 10/04/2024

Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.

Chính phủ Pháp bị tấn công mạng

16:00 | 15/03/2024

Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.

Kho lưu trữ PyPI phân phối phần mềm độc hại WhiteSnake

08:00 | 10/02/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.