CAPTHA, または完全に自動化されたパブリックチューリングテストで、コンピューターと人間を区別します, 時々かなり迷惑になることがあります, しかし, オンラインセキュリティの観点から, 彼らは必要悪です. 不運にも, GoogleとFacebookのCAPTCHAサービスは、3人のセキュリティ研究者によって分類されています. 彼らの作品は最近BlackHatAsiaで発表されました 2016.
Suphannee Sivakorn, ジェイソン・ポラキス, とアンジェロスD. Keromytisは、GoogleとFacebookのCAPTCHAをうまく破ることができる自動攻撃を設計することに成功しました. 成功するために, エキスパートトリオは、CAPTCHAサービスを打ち負かすためにさまざまな「トリック」を適用しました. また、機械学習を使用して、CAPTCHAの正しい答えを見つけました。. 彼らが達成した精度は、以前の試みや研究よりも高いレベルにあります.
の敗北 '砂 のCAPTCHA
研究者は、Googleが提供するreCaptchaサービスは, 最も広く使用されているキャプチャサービスです, 自動化されたボットが不正な活動を行うのを防ぐために、多くの人気のあるWebサイトで採用されています。」
GoogleのreCAPTCHA
彼らは、実験が成功することを期待していませんでした。. GoogleのreCAPTCHAシステムを分解しながら, 彼らは成功率を記録しました 70.78 パーセント. 平均CAPTCHA解決時間の時点で, それはで推定されました 19.2 秒.
FacebookのCAPTCHAシステム
研究者はFacebookのCAPTCHAでより良い結果を得ました–成功率は 83.5 以上のパーセント 200 CAPTCHA. なぜ彼らはFacebookでもっと成功したのですか? その理由は非常に単純で明白です。ソーシャルネットワークはより良い解像度の画像を使用し、認識可能なカテゴリのオブジェクトを表示します.
比較において, Googleの画像は低解像度です, 互いに類似しています. これにより、自動画像分類がより困難になります.
GoogleとFacebookのCAPTCHAへの攻撃の技術的な部分に加えて, 研究者たちはまた、そのような攻撃を実行するための財政的必要性を考慮に入れました. それが判明したとして, 自動化された攻撃は経済的に健全です–サイバー詐欺師にしか費用がかかりません $110 CAPTCHAコードを解読するためのIPアドレスごとの1日.
FacebookとGoogleは何を言ったのか?
もちろん, 調査チームは、発見を公開する前にGoogleとFacebookに連絡しました. 驚くべきことに, Googleだけが応答し、reCAPTCHAメカニズムを壊しにくくするためにいくつかの対策を講じました. FacebookはCAPTCHAを改善するためにまだ何もしていません.
これはチームが言うことです:
調査結果と推奨事項を記載したレポートをGoogleに開示しました, 自動化された攻撃に対してreCaptchaをより堅牢にするために彼らを支援するために. 私たちの開示に続いて, reCaptchaは、大規模なトークンハーベスティング攻撃を軽減するために、セーフガードとリスク分析プロセスを変更しました. また、攻撃の精度を下げるために、画像キャプチャからソリューションの柔軟性とサンプル画像を削除しました. Facebookにも通知しました, ただし、変更は通知されていません. 全体, 調査結果を共有することが、キャプチャの将来に関して研究者と業界の間で切望されている議論を開始するのに役立つことを願っています.
見て 元のレポート.