写点什么

unCaptcha:准确率高达 85% 的谷歌语音验证码破解工具

  • 2017-11-01
  • 本文字数:1043 字

    阅读完需:约 3 分钟

很多网站使用谷歌的验证码系统 reCaptcha 来防止用户使用机器人进行自动操作,比如使用机器人创建账号等。2012 年,一个谷歌研究团队几乎百分百破解了其文本验证码系统。于是,谷歌将验证码升级到了语音和图像,并通过不断迭代加固他们的验证码系统。如果能够找到验证码系统的漏洞,也就等于把千万个网站暴露于攻击之下。

近日,美国马里兰大学的四位研究人员开源了一个叫作 unCaptcha 的工具,用于破解谷歌的语音验证码系统,准确率高达 85%。

谷歌的 reCaptcha 系统使用了一些高级的分析工具来判断一个用户到底是人还是机器人。他们使用了多种元素,包括 cookie、解题的速度、鼠标的移动以及解题的成功率。

unCaptcha 使用浏览器自动化工具(如 Selenium)找到网页上的语音验证码,解析出其中的数字,然后通过程序自动键入验证码,以此来骗过验证码系统。

语音验证码由一组变长的数字读音组成,每个数字的语速、音高也不一样,甚至口音也不一样。为了解析出这些数字,需要先从网页上把语音文件下载下来,然后将解析出来的语音元素发给在线的语音识别服务(比如 IBM、谷歌云、谷歌语音识别、Sphinx、Wit-AI、微软 Bing 语音识别)进行识别。识别之后的结果会被收集起来,组成一串数字,这些数字会自动键入到验证码的输入框,从而通过验证。

unCaptcha 已经在著名的 Reddit 网站上做过实验,并通过了谷歌的语音验证码系统,但为了不影响 Reddit 网站,他们在创建新用户这一步停止了实验。unCaptcha 在识别数字方面的准确率高达 92%,整体语音识别准确率达到了 85%。

该工具托管在 GitHub 上,并提供了安装使用示例。

另外,他们也发表了免责声明。他们开发 unCaptcha 的主要目的是作为概念性验证,而绝非要与谷歌作对。他们还将几个在线语音识别服务提供的 API 秘钥从项目中删除,避免不必要的麻烦。

Reddit 网站上有帖子针对该项目展开热议。有人对该项目所使用的技术手段赞不绝口。也有人开玩笑说,他们利用了第三方的在线语音识别服务,包括谷歌自家的语音识别系统,所以对于谷歌来说,无异于搬石头砸自己的脚。有人认为 85% 的准确率已经超过了他通过点击街景标志来输入验证码的正确率。也有人希望这个项目能够做成浏览器插件,这样就可以更轻松地绕过谷歌的验证码系统。

更多的信息可以参看 unCaptcha 网站 GitHub 项目主页,更多的 Reddit 讨论可以在这里看到。


感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-11-01 19:003059
用户头像

发布了 322 篇内容, 共 139.3 次阅读, 收获喜欢 145 次。

关注

评论

发布
暂无评论
发现更多内容

CleanMyMac2023注册机mac系统清理工具

茶色酒

CleanMyMacX CleanMyMac X

从URL输入到页面展现到底发生什么?

loveX001

JavaScript

NFTScan 正式推出「NFTScan as a Service」NaaS 服务

NFT Research

NFT 数据基础设施

云时代下,医药行业管理居然这么简单

华为云开发者联盟

数据库 华为云 SaaS医药管理系统

Spring Boot 分离配置文件的 N 种方式

江南一点雨

Java spring springboot

云原生安全系列2:提升镜像安全的10条建议

HummerCloud

云原生 镜像安全 云原生安全

极客时间运维进阶训练营第四周作业

chenmin

三次握手与四次挥的问题,怎么回答?

loveX001

JavaScript

vivo霍金实验平台设计与实践-平台产品系列02

vivo互联网技术

A/B 测试 平台化 AB实验

6个tips缓解第三方访问风险

SEAL安全

安全 访问权限 第三方访问

阿里云无影研发负责人任晋奎:端云技术创新,打造全新用户体验

云布道师

云栖大会 无影云电脑

Java程序员在写 SQL 时常犯的错误

@下一站

学习 程序媛 Java core 11月月更

智慧屏也常用常新,华为智慧屏V98等6款设备可升级HarmonyOS 3正式版

Geek_2d6073

【web 开发基础】PHP 的函数工作原理 (28)

迷彩

函数 web开发基础 11月月更 结构化编程 函数的工作原理

聊聊Go里面的闭包

秦怀杂货店

Go 函数式编程 闭包

主成分分析PCA与奇异值分解SVD-PCA对手写数据集的降维 & 用PCA做噪音过滤

烧灯续昼2002

Python 机器学习 算法 sklearn 11月月更

Docker部署flink备忘

程序员欣宸

Docker flink 11月月更

即时通讯技术文集(第6期):移动端弱网优化文章汇总 [共13篇]

JackJiang

网络编程 即时通讯IM

Serverless Devs 重大更新,基于 Serverless 架构的 CI/CD 框架:Serverless-cd

Serverless Devs

云计算 Serverless Serverless Devs

本地开发完成的 Fiori Elements 应用,部署到远端 ABAP 服务器上的详细步骤

汪子熙

web开发 abap Fiori SAP UI5 11月月更

100万行Spring源代码,鬼知道面试都会问啥

博文视点Broadview

其实你的下班时间,被 Excel 预定了

叶小鍵

支持向量机-支持向量机分类器原理

烧灯续昼2002

Python 机器学习 算法 sklearn 11月月更

2022我的前端面试总结

loveX001

JavaScript

一键开启云原生网络安全新视界

京东科技开发者

云原生 网络安全 软件架构 应用结构

云图说|移动应用安全服务—App的体检中心,全面检测,安全上路!

华为云开发者联盟

华为云 移动应用安全 VSS

100+款AI产品薅羊毛攻略(中)——1年节省大几百万

夏夜许游

AI 视觉智能 阿里云视觉智能开放平台 薅羊毛

计算机网络:PPP协议与HDLC协议

timerring

计算机网络 11月月更

一年前端面试打怪升级之路

loveX001

JavaScript

想搞懂持续交付理论和实践,你只差这三个问题

华为云开发者联盟

云计算 云原生 华为云 代码托管

再见 Fred Brooks

Journeyman

IT 新闻

unCaptcha:准确率高达85%的谷歌语音验证码破解工具_语言 & 开发_薛命灯_InfoQ精选文章