Разработана система обхода reCAPTCHA

Трое исследователей в вопросах безопасности из Колумбийского университета решили разработать систему, которая бы позволяла обходить систему CAPTCHA, внедрённую Google и Facebook.

Исследователи воспользовались большим числом факторов, разрабатывая атаку на систему, использовав множество способов обхода с использованием ключей и cookies, а также систем машинного обучения и распознавания изображений. В результате им удалось создать систему, обходящую капчи намного быстрее и точнее, чем в более ранних попытках.

Результаты оказались лучше, чем ожидалось. В системе Google reCAPTCHA успех составил 70,78% при распознавании 2235 изображений. Среднее время решения капчи составило 19,2 с.

Google reCAPTCHA

На Facebook результаты получились ещё лучше. При распознавании более 200 капч уровень успеха составил 83,5%. Исследователи отмечают, что это произошло потому, что социальная сеть использует изображения с большим разрешением, которые легче распознать. У Google изображения низкого качества, что делает их автоматическое распознавание более трудоёмким.

Также исследователи оценили проведение их автоматизированных атак более экономично, по сравнению со службами ручного распознавания.

Они отметили, что если бы запустили свой сервис распознавания капч, то все атаки стоили бы 110 долларов в день за один IP адрес. За это время им удалось бы распознать 63000 капч без блокировки.

Перед тем как опубликовать результаты исследователи связались с Google и Facebook. После этого первая усложнила свою систему reCAPTCHA, а Facebook не дал ответ и не провёл никаких изменений.