Незалежний дослідник, відомий під псевдонімом East-EE, продемонстрував обхід reCAPTCHA, обумовлений тим, що він назвав «логічної вразливістю». Справа в тому, що для обману системи захисту можна використовувати один із сервісів Google, а саме Speech Recognition API.
Дослідник пояснює, що проти Google reCAPTCHA v2 можна використовувати інший сервіс Google. Так як розробники піклуються про користувачів з обмеженими можливостями, в reCAPTCHA завжди є можливість переключитися на аудиоверсию тесту. Якщо при цьому користувач використовує застарілий браузер, або в системі не підтримується відтворення звуку, Google також надає можливість завантажити аудіофайл.
East-EE виявив, що завантажений аудіофайл можна «згодувати» іншому сервісу Google, розпізнавального мова - Speech Recognition API. В результаті API поверне текстову версію запису, яку можна буде вставити в відповідне поле reCAPTCHA. З огляду на, що дослідник створив працюючий proof-of-concept, що дозволяє автоматизувати і прискорити цей процес, цілком можна очікувати, що незабаром з'являться веб-сервіси або розширення для браузерів, створені на основі напрацювань East-EE.
Поділися новиною з друзями: