Chuyên gia Nikolai Tschacher vừa công bố nghiên cứu cho thấy một kỹ thuật từ năm 2017 có thể giúp vượt qua thử thách reCAPTCHA âm thanh phiên bản mới nhất với tỷ lệ thành công lên đến 97%.
CAPTCHA (viết tắt của Completely Automated Public Turing test to tell Computers and Humans Apart) được giới thiệu lần đầu năm 2014, là công cụ giúp xác minh đối tượng đang thao tác trên hệ thống là người thật hay bot. ReCaptcha là tên riêng cho công cụ xác minh tài khoản của Google, trong đó sử dụng các thử thách hình ảnh, âm thanh hoặc văn bản để xác thực người đăng nhập, tránh việc tạo tài khoản tự động và lạm dụng dịch vụ. Google cung cấp công nghệ này miễn phí cho các tài khoản xử lý dưới 1 triệu truy vấn mỗi tháng. Gần đây công ty bắt đầu tính phí cho các tài khoản reCAPTCHA quy mô lớn hơn.
Công cụ reCaptcha của Google sử dụng hệ thống phân tích rủi ro để xác định đối tượng đang đăng thao tác trên thiết bị là người hay bot. Hệ thống sẽ tính đến cookie (và thông qua phần mở rộng, sự tương tác với các dịch vụ khác của Google), tốc độ giải quyết các thách thức, di chuyển chuột và cách người dùng giải quyết được nhiệm vụ được đặt ra. reCAPTCHA âm thanh được xem như một công cụ trợ năng, hỗ trợ những người khiếm thị xử lý thử thách.
Năm 2017 từng có một kỹ thuật tấn công được đặt tên là unCaptcha, do các nhà nghiên cứu của Đại học Maryland (Mỹ) công bố. Trong đó sử dụng API chuyển giọng nói thành văn bản để vượt qua CAPTCHA. Thử nghiệm cho thấy công nghệ này đạt độ chính xác đến 85%.
Hệ thống unCaptcha sử dụng phần mềm tự động hóa trình duyệt, có thể tương tác với trang web mục tiêu và với captcha, sau đó phân tích các yếu tố cần thiết để bắt đầu cuộc tấn công. Nghiên cứu chủ yếu nhắm vào captcha âm thanh. Định dạng của âm thanh captcha gồm một loạt dài các số được đọc to với tốc độ khác nhau, có độ cao và dấu nhấn trên nền tiếng ồn. Tuy nhiên chỉ bằng một số thủ thuật, các chuyên gia bảo mật đã có thể đánh lừa trang web nghĩ là bot là con người.
Sau khi lỗ hổng được tiết lộ, Google đã cập nhật reCAPTCHA vào tháng 6/2018, cải thiện tính năng phát hiện bot và sử dụng các cụm từ thay cho số. Tuy nhiên điều này vẫn không đủ ngăn chặn các cuộc tấn công. Các nhà nghiên cứu lại tiếp tục phát hành unCaptcha2 dưới dạng mã PoC với độ chính xác còn cao hơn so với trước (91% so với 85% của unCaptcha). Trong đó sử dụng “trình nhấp màn hình để di chuyển đến các pixel nhất định trên màn hình và lướt xung quanh trang như người thật”.
Nhưng điều bất ngờ là đến ngay thủ thuật này vẫn có thể hoạt động hiệu quả với reCAPTCHA phiên bản mới nhất của Google, reCAPTCHA v3. Theo nhà nghiên cứu Nikolai Tschacher, ý tưởng thực hiện cuộc tấn công này rất đơn giản, bạn chỉ cần lấy tập tin MP3 của reCAPTCHA âm thanh và gửi tới API chuyển giọng nói thành văn bản của Google. Ngay sau đó, Google sẽ trả lại câu trả lời chính xác đến hơn 97%. Báo cáo còn bao gồm một video chi tiết về cách hoạt động của bot do Tschacher tạo ra.
Theo Tschacher, bot của ông không dễ khai thác trên quy mô lớn vì ba lý do: Google giới hạn tốc độ truy cập CAPTCHA âm thanh; Google có khả năng theo dõi các chỉ số bot; hệ thống sẽ tạo ra dấu vân tay của mỗi thiết bị duyệt web để dừng các bot. Tuy nhiên Nghiên cứu của Tschacher cho thấy reCAPTCHA không phải lúc nào cũng an toàn, nhất là với một công cụ được hàng trăm nghìn trang web sử dụng để phát hiện và kiểm soát số lượt truy cập lạm dụng và tạo tài khoản bot.
Mời bạn để lại ý kiến ở phần bình luận nhé!