reCaptcha de Google, hackeado otra vez

Un grupo de investigadores de la Universidad de Maryland encontró la manera de engañar el servicio reCaptcha de Google con un ataque automático capaz de decodificar el servicio con un 85 por ciento de precisión.

Los investigadores crearon una herramienta llamada unCaptcha, que es capaz de explotar la opción de reconocimiento auditivo del servicio reCaptcha V2 de Google.

En 2014, Google introdujo reCaptcha en la mayoría de sus servicios públicos a fin de neutralizar los robots y scripts que tienen como objetivo registrar veloz y simultáneamente cientos de cuentas gratuitas de servicios web. CAPTCHA es el acrónimo en inglés de Prueba de Turing completamente automática y pública para diferenciar computadoras de humanos. ReCaptcha es el nombre de Google para su propia tecnología y servicio gratuito que utiliza pruebas de reconocimiento de imágenes, audio o texto a fin de verificar que sea un humano el que ingresa en una cuenta.

“Evaluamos unCaptcha utilizando más de 450 pruebas de reCaptcha encontradas en sitios web vigentes y mostramos que puede resolverlas con un 85,15 por ciento de exactitud en 5,42 segundos, en promedio”, afirmaron los autores del documento PDF de la Universidad de Maryland, Kevin Bock, Daven Patel, George Huguey y Dave Levin.

En el caso de unCaptcha, el método no se basa en la porción de imagen de la prueba, sino que identifica los dígitos o palabras de sonido en un clip de sonido. “Los usuarios visualmente discapacitados no pueden resolver las pruebas visuales, lo que llevó a la creación de las pruebas de reconocimiento de sonido”, explican los investigadores.

Según el documento elaborado, unCaptcha combina los motores gratuitos de conversión de voz a texto en línea con avanzadas técnicas de mapeo fonético. Primero, los investigadores seleccionan la opción de sonido de los servicios reCaptcha mediante el software de automatización del navegador, que a su vez activa la descarga del archivo de sonido. Luego, mediante los servicios gratuitos de conversión de voz a texto en línea, son capaces de identificar las palabras pronunciadas en la prueba.

“Después de realizar el mapeo fonético de cada una de las predicciones individuales de los servicios de reconocimiento de voz, “combinamos” sus respuestas para obtener una sola respuesta”, explican los investigadores. “Una vez combinada una cadena de dígitos, unCaptcha digita orgánicamente (con sincronización uniforme aleatoria entre cada símbolo) la solución en el campo respectivo y pulsa el botón ‘Verificar’.

No es la primera vez que Google sufre la decodificación de su reCaptcha. En marzo, los investigadores de East-Ee Security detallaron una prueba de concepto de rodeo que usaba las propias herramientas web de Google para descifrar las medidas de seguridad.

La herramienta, conocida como ReBreakCaptcha, es capaz de superar la seguridad de reCaptcha mediante una rutina que se basa en las propias interfaces de programación de aplicaciones (API) de Google para capturar pruebas de sonido como archivos de sonido. Después, usa la tecnología voz-a-texto para convertir los sonidos en respuestas de texto que luego se introducen como soluciones de texto en las pruebas de reconocimiento de voz de reCaptcha.

Nuevamente, en el evento Black Hat Asia de 2016, los investigadores de seguridad de la Universidad de Columbia publicaron el documento: I’m not a Human: Breaking the Google reCAPTCHA (PDF). Según los autores, su técnica resolvió automáticamente el 70,78% de las pruebas de reconocimiento de imágenes de reCaptcha, en sólo 19 segundos por prueba.

East-Ee Security no proporcionó datos comparativos para su método ReBreakCaptcha.

Fuente: Threatpost