Especialistas en seguridad informática de la Universidad de Maryland publicaron hace algunos años una investigación para revelar de qué forma podrían ser explotados los servicios de conversión de voz a texto en línea para resolver desafíos de audio re CAPTCHA v2 con un considerable grado de éxito.
El Test de Turing Completamente Automatizado y Público para Diferenciar Computadoras de Humanos (CAPTCHA) es una prueba desafío-respuesta controlada por un sistema informático empleada para determinar si el usuario de dicho sistema es una persona o un programa automático. Esta es una de las formas más eficientes de prevenir el uso de bots en sitios web en general.
A pesar de que Google aplicó algunos cambios para prevenir estos ataques, recientemente han aparecido nuevas versiones del hack capaces de evadir con éxito este popular mecanismo de seguridad y resolver desafíos CAPTCHA con éxito. Han logrado incluso desarrollar una prueba de concepto (PoC) de este escenario.
El código de esta PoC se volvió obsoleto a lo largo del tiempo. Sin embargo, el investigador Nikolai Tschacher logró alterar este código con el fin de que sea útil con la más reciente versión de reCAPTCHA v2. Esto empleando la propia API de voz y texto de Google. Tschacher alcanzó más del 95% de precisión en su ataque.
Google lanzó en 2018 reCAPTCHA v3 con el fin de mejorar la experiencia del usuario, aunque el investigador señala que esta nueva versión aún cuenta con el respaldo de reCAPTCHA v2. El especialista publicó una PoC, además de la explicación de los cambios realizados por Google. Han sido enviadas diversas solicitudes de información a Google, sin respuesta por parte de la compañía hasta el momento.
La resolución automática de desafíos CAPTCHA se ha convertido en un área de investigación muy popular. Incluso se han desarrollado extensiones de navegador gratuitas que ayudan a los usuarios a responder estos test al alcance de un botón.
Fuente: Noticias de Seguridad Informática
Para más información ingresar aquí.
Comentarios