以子之矛攻子之盾：谷歌reCAPTCHA機器人驗證被自家服務騙過了

reCAPTCHA項目是由卡內基·梅隆大學所研發的一套系統，常應用在一些網站的「我不是機器人」驗證上。谷歌於2009年收購了reCAPTCHA，但沒想到的是，一些研究人員用谷歌的另一項服務，攻破了reCAPTCHA。

據MotherBoard報道，馬里蘭大學的研究人員推出了一套據稱能夠騙過reCAPTCHA的「unCaptcha」系統。有趣的是，這套系統借用了谷歌的語音轉文本服務，可謂是「以子之矛攻子之盾」。

馬里蘭大學論文介紹頁截圖。他們在這裡調侃了一下，把「我不是機器人」的文字寫成了「我不是人類」

根據他們的論文，「unCaptcha」會先下載音頻驗證碼，將音頻分成單個數字音頻片段；之後，系統將片段上傳到包括多個語音轉文本服務，再將後者返回的結果轉化為數字形式。

之後，系統會做一些一些同音詞猜測，決定哪個語音轉文本的輸出最接近準確結果，然後將答案上傳到CAPTCHA驗證上。據稱，這種舊方法的成功率達到了85％。

谷歌自然不會對此放任不管。在早先版本的「unCaptcha」發布後，谷歌修復了部分漏洞，優化了瀏覽器自動檢測，並切換到口頭短語驗證而不僅僅是通過數字方式。

可是這些研究人員似乎「魔高一丈」。他們表示，更新後的「unCaptcha2」可以繞過谷歌的改進措施，且將破解的成功率進一步提升到90％。

unCaptcha2項目的GitHub頁面截圖

這套系統現在已經發布到了GitHub上。根據研究人員的說法，谷歌已經知悉新系統的情況，且沒有去找他們麻煩。他們在相關頁面上寫道：

我們已經與ReCaptcha團隊聯繫了六個多月，他們完全知悉新的攻擊。儘管該項目已取得成功，但reCAPTCHA團隊允許我們發布代碼。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！