unCaptcha系统于2017年4月创建,目标是谷歌的reCAPTCHA和类似的安全系统。这些系统旨在保护网站免受垃圾邮件和滥用,并能够以高精度击败这些攻击。
在马里兰大学(UM)的计算机科学专家发布该系统后不久,谷歌更新了其安全服务以减轻攻击,但unCaptcha已更新从而绕过缓解措施。
unCaptcha系统旨在针对reCAPTCHA提出的音频挑战,但设计它的安全专家表明它也可以击败其他系统,包括BotDetect,Yahoo和PayPal图像挑战,所有这些都具备高精度。
为了缓解攻击,谷歌改进了reCAPTCHA的浏览器自动化检测,并从口头数字切换到口头短语,这两项重大变化成功的防止了原来的unCaptcha攻击。
然而,在2018年6月,更新后的unCaptcha能够解决新的挑战,从而可以有效的再次绕过谷歌的安全服务。更重要的是,系统的准确性和有效性也得到了提高。
该系统背后的安全专家解释说,
由于音频挑战的变化,通过ReCaptcha比以前更容易。该代码现在只需向一个免费的,公开可用的语音文本API发出单一请求,即可在所有验证码上实现约90%的准确率。
然而,reCAPTCHA不能再使用Selenium浏览器自动化引擎进行定位,并且unCaptcha切换到屏幕快照以移动到屏幕上的某些像素以模仿页面上的人为移动。
每个新用户都需要更新坐标。更新后的系统以非常简单的方式工作:它导航到Google的ReCaptcha站点,然后导航到音频挑战,下载挑战,将其提交到Speech To Text,解析响应并键入答案,然后单击提交并检查是否攻击成功。
reCAPTCHA团队于2018年6月获悉该发现,并于2018年6月27日正式公布。专家们决定等待六个月才公开他们的研究结果,给予Google足够的时间来解决潜在的架构问题。
专家们还指出,
Recaptcha团队知道这个攻击媒介,并且已经确认我们发布的这个代码很好,除了成功率之外。这个攻击载体被认为超出了bug赏金计划的范围。
2018年10月,Google宣布推出reCAPTCHA v3,重点是通过在后台运行自适应风险分析来改善用户体验,并提供一个分数,以告知网站所有者互动的可疑性。
作为一个概念验证,当Google对其服务进行更改时,新的unCaptcha将不会更新。这意味着代码可能随时中断。专家还从所有必要的查询中移除了他们的API密钥。