三名安全研究人员最近设计了一种针对谷歌和Facebook所用CAPTCHA系统的自动攻击行为——CAPTCHA是个验证系统,用于验证你不是机器 人。他们将不少攻击方式组合到了一起,能够绕过CAPTCHA安全措施(cookies,tokens),而且还能通过机器学习,来猜测正确的 CAPTCHA答案(图案),每次的精确性都会更高。
而且这次的攻击结果还相当不错,比预想得要好。在谷歌最新的reCAPTCHA系统中,研究人员记录发现,在针对2235个CAPTCHA的破解中,成功率达到了70.78%,平均CAPTCHA的破解时间大约为19.2秒。
同 时他们也记录了Facebook上的成绩,发现攻击效果更加理想,200个CAPTCHA,成功率83.5%。据说Facebook的CAPTCHA更容 易破解的原因是,Facebook用了更高分辨率的验证图像,而且问题也比较一目了然。而谷歌用的是较低质量的图像,这就让影像分析更困难了。
因为有些黑客还会用找人类操作的方式来解决CAPTCHA这道关卡,研究人员也对这类攻击行为进行了经济方面的分析:每个IP每天,在不被禁的情况下,24小时可以搞定63000个CAPTCHA,需要花费110美元(约合人民币)。这似乎是现在的市价。
而这群研究人员则表示:“我们这种完全离线的CAPTCHA破解系统完全能够和专门提供这类破解的服务,在准确性和攻击持久性方面相提并论,最重要的是不需要花什么成本。”
当然了,在公布研究结果之前,研究人员还是将他们的成果与谷歌和Facebook进行了沟通。研究人员说,谷歌采取了一些步骤,来进一步强化reCAPTCHA,而Facebook方面则没有做出任何改变。
从 事这项研究的三名专家分别是Suphanee Sivakorn、Jason Polakis以及Angelos D. Keromytis。他们的论文名为《I Am Robot: (Deep) Learning to Break Semantic Image CAPTCHAs》——I Am Robot正好跟CAPTCHA运行时,要用户打勾的“I’m not a robot”相对,当前已经公布在了哥伦比亚大学,计算机科学系的网站上。这份研究报告也公布在了Black Hat Asia 2016网站上(点击这里)。