Google的reCaptcha驗證工具,可協助網站阻截DDoS攻擊,將機械人的惡意訪問要求過濾。不過,有研究員就利用Google的Speech to Text語音識別工具,反過來攻破reCaptcha的語音驗證版本,事後更盛讚對方的語音識別準確度高,攻破率才可高達97%!Google應該高興還是嬲嬲?
reCaptcha驗證是一種反機械人(bot)工具,其前身為CAPTCHA,於2009年被Google所收購。reCaptcha可以防止網絡罪犯利用機械人程式,反覆發出網站訪問要求,製造大量流量癱瘓網站。驗證方法,包括要網民點擊指定的對話盒,或點出九宮格圖內的指定物件,如行人路、交通燈等等。而為方便視障人士使用,亦提供語音版本驗證,使用者須聆聽一句說話,然後在輸入框將說話改以文字輸入。
不過,語音版reCaptcha驗證並非毫無破綻,因為網絡罪犯可以透過編寫程式,將reCaptcha讀出的語音檔,自動利用Google Speech-to-Text API將語音變為文字,再自動填上輸入框。這種破解方式早於2017年已被University of Maryland的研究員發現,命名為unCaptcha,而Google在得知這漏洞後,便於2018年提升機械人偵測技術,阻止機械人自動完成上述驗證。
事隔兩年多,研究員Nikolai Tschacher又再以相同技術,挑戰reCaptcha的把關能力。不過,Tschacher的實驗沒有完全搬字過紙,而是為了避過機械人偵測技術,在扮演點擊reCaptcha或瀏覽網頁行為的擬人化上下功夫,令reCaptcha相信正在進行驗證的是人類,結果從影片可見,他仍能多次避過攔截。Tschachar又盛讚Google的語音辨識準確度非常高,幾乎有97%準確度,大大提升其實驗的成功率!所以如網站採用了reCaptcha驗證工具,也不要以為自己可以百分之百避過機械人的分散阻斷式服務攻擊(DDoS)。
