Un ricercatore utilizza gli strumenti vocali di Google per bypassare il reCAPTCHA

Per gli utentiPer i Responsabili ITGoogleVulnerabilità

Esistono tre tipi di test reCAPTCHA  (acronimo di Completely Automated Procedures for Telling Computers and Humans Apart) di Google,:

  • Grafico: quando Google ci fa scegliere immagini di gattini o altre figure per provare che siamo reali
  • Sonoro: quando dobbiamo digitare dei numeri che ci vengono letti ad alta voce
  • Cognitivo: quando è necessario scegliere tutte le frasi che corrispondono a una determinata categoria

Ora Google dovrebbe solo capire come fare in modo che i ricercatori non utilizzino proprio i suoi strumenti per bypassare questi reCAPTCHA.

Circa un anno fa vi abbiamo raccontato come il reCAPTCHA grafico sia stato aggirato.

Ora anche il reCAPTCHA audio sembra aver fallito, e ancora una volta, è inciampato proprio su uno dei servizi di Google: questa volta, è stata la API di riconoscimento vocale di Google.

Un ricercatore di sicurezza identificatosi solo come Est-Ee Security ha dichiarato di aver scoperto quella che viene chiamata una “vulnerabilità logica” che consente un facile bypass di reCAPTCHA v2 di Google ovunque sul web.

Il ricercatore ha inventato un modo per sfruttare automaticamente questa vulnerabilità, soprannominato ReBreakCaptcha e che funziona in tre fasi:

  • Challenge. Raggiunge il giusto tipo di pagina reCAPTCHA, dove viene proposto un test audio, e lo scarica.
  • Riconoscimento. Converte il file audio in un formato adatto e lo invia al riconoscimento vocale API di Google.
  • Verifica. Convalida il risultato di riconoscimento vocale e lo incolla nel reCAPTCHA, come se un essere umano avesse capito.

Per funzionare, ReBreakCaptcha deve essere sicuro di trovarsi di fronte un test audio perché è quello che sa come aggirare. E’ in grado di farlo, perché quando si presenta un test di testo, la finestra di dialogo offre un pulsante “ricarica”. ReBreakCaptcha continua semplicemente cliccando il pulsante Ricarica fino a quando si arriva al test audio.

Allo stesso modo, quando si presenta un test grafico, ReBreakCaptcha seleziona l’icona del microfono nella parte inferiore della finestra di dialogo per selezionare invece un test audio.

I controlli nella pagina test audio sono per riprodurre l’audio, digitare la risposta, o scaricare il test audio come file.

Il pulsante per il download torna utile. ReBreakCaptcha scarica l’audio, lo converte in formato WAV (come richiede l’API di riconoscimento vocale di Google), poi lo immette nel riconoscimento vocale di Google. Quello che il servizio restituisce è una stringa: perfetta da copiare e incollare nella casella di testo del test audio.

Tutti questi passaggi sono automatizzati attraverso uno script Python che si basa su una libreria denominata SpeechRecognition che ha il supporto per diversi motori e API, online e offline.

La ragione per determinare se qualcuno è umano o è un bot è che questi ultimi fanno cose nefaste, e non si annoiano ne si stancano mai di farle.

Ad esempio, i bot raccolgono indirizzi e-mail da pagine di contatto o guestbook, perlustrano i siti e riutilizzano i contenuti senza autorizzazione su pagine doorway generate automaticamente, prendono parte a (DDoS) Distributed Denial of Service, e tentano di accedere in automatico a siti con password riutilizzate e frutto di violazioni.

Si dà il caso che Google stia lavorando su una versione ancora più sofisticata di reCAPTCHA, chiamata Invisible reCAPTCHA, che non richiede di cliccare nulla. Piuttosto, essa usa una tecnologia avanzata di analisi dei rischi che si basa su indizi sottili come ad esempio il modo in cui un utente (o un bot) sposta il mouse nei brevi momenti prima di cliccare su “Io non sono un robot” per determinare chi è umano e chi è un bot .

Per ora, mentre aspettiamo che esca la versione 3 di reCAPTCHA, pare ci sia un altro modo per infrangere la versione 2. East-Ee Security ha affermato che nel momento in cui la vulnerabilità è stata pubblicata, non era ancora stata patchata.

Il ricercatore non ha menzionato di aver segnalato il bug a Google. Ci siamo messi in comunicazione con Google per scoprire a che punto è la correzione, e vi aggiorneremo non appena riceveremo una risposta.

Leave a Reply

Your email address will not be published.