איך עקף חוקר אבטחה ישראלי את reCaptcha של גוגל? עם כלים של גוגל כמובן

"אני כן רובוט" ענה הקוד של החוקר בזמן שהוא עוקף את הכלי שהופך אותנו למכונות תיוג תמונות עבור גוגל

מקור: גוגל

אחת המערכות הותיקות בשוק בתחום של מניעת בוטים באתרים היא reCaptcha של גוגל, שמצליחה למנוע מבוטים לבקר באתרים, לקצור מידע ולפגוע בתפקוד שלהם. אבל חוקר ישראלי מציג כיצד ניתן לתחמן את המערכת הזו – כשכל מה שצריך זה את הכלים של גוגל עצמה.

"אני רובוט", ועקפתי אותך

יאיר מזרחי, חוקר אבטחה ישראלי, מספר לנו כי כבר ב-reCAPTCHA v2 הצליח לעקוף את הכלי של גוגל עם – חכו לזה – רובוט (סוג של). מדובר בחולשה שמצא החוקר עוד ב-2016, שתוקנה חלקית על ידי ענקית הטכנולוגיה – אך מאז הצליח מזרחי לנצל אותה בשנית במה שהוא כינה Re-ReBreakCaptcha.

אנחנו מכירים את אתגר זיהוי התמונות, במסגרתו אתם והבוטים צריכים להצביע על ברז כיבוי אש, רמזורים או משאיות. ואכן, מזרחי הסכים שלפצח את האתגר הזה יהיה מסובך. אבל אז הוא החליט לאתגר את המערכת של גוגל דרך שימוש באופציה שרובנו לא מכירים – האתגר הקולי, אפשרות שמיועדת לרוב לבעלי מגבלות ראייה למשל. כדי להגיע לאתגר הקולי כל שצריך לעשות הוא ללחוץ על האייקון של האוזניות, ומשם המערכת מקריאה ארבע ספרות בצורה מאוד ברורה.

מזרחי החל לבדוק את השיטה בצורה ידנית. הוא הצליח להוריד את קובץ הקול שהמערכת ייצרה, להמיר אותו ל-mp3 עם ביטרייט של 64 קילו-ביט לקובץ WAV (שהומר עם קודק PCM ל-16-ביט) – הפורמט הזה היה חשוב כדי שהוא יוכל לעבד את הקובץ בהמשך. אז השתמש החוקר ב-API הזיהוי הקולי של גוגל עצמה, שפיצח מייד עבורו את האתגר הקולי. עכשיו, כשראה שהקוד שלו כבר יכול לעשות זאת ידנית – הדרך סלולה לעבור לאוטומציה.

מזרחי עבר לשלב ה-POC וכתב קוד בפייתון, שמבצע בכל פעם 100 ניסיונות לפצח את reCaptcha. הוא מספר כי בין כל אחד מהשלבים האלה, הקוד ממתין מספר רנדומלי של שניות, כדי לא לעורר חשד של המערכת שמדובר בבוט. "בגרסה החדשה נתקלתי במערכת מתוחכמת יותר שמזהה בוטים, ועקפתי אותה באמצעות שינה בקוד (sleep פשוט) למספר דקות כל מספר מוגדר של איטרציות", אמר מזרחי בשיחה איתנו. לדבריו, בהתחלה המערכת הייתה חוסמת אותו אחרי 20-25 ניסיונות – ולכן הבין את הצורך בעצירות מתודיות כדי למנוע את הזיהוי והחסימה שלו ע"י reCaptcha.

הקוד עושה שימוש ב-Selenium, מה שמאפשר לשלוט אוטומטית בדפדפן באמצעות ה-WebDriver שלו  – GeckoDriver במקרה של פיירפוקס. הקוד משתמש במזהים ובטקסט של האלמנטים השונים בדף כדי לדעת על מה ללחוץ. בנוסף, השתמש מזרחי בספריית pydub כדי לבצע את ההמרה של האתגר הקולי לפורמט שגוגל תקבל.

מה הסיכונים בפועל של החולשה הזו לדעתך? איפה זה יכול לפגוע במשתמש הקצה אם בכלל?

"אין סיכון למשתמש הקצה, ונראה לי שהוא ישמח שלא לזהות תמונות. מנגד, בעלי אתרים יכולים להיפגע, אם ינסו לטרגט אותם במתקפות brute force לסיסמאות של משתמשים או לעשות scraping לתכנים באתר".

גוגל לא מתרגשת

כאמור את החולשה המקורית מצא מזרחי עוד ב-2016 וכבר אז פנה לענקית הטכנולוגיה עם אסגרה שלה. אבל בגוגל לא מיהרו לתקן, ואמרו כי לאחר שבחנו את הנושא עם הצוות של reCaptcha הם "מודעים להגבלות של האתגרים הקוליים" ובוחנים דרכים לטפל בהם – אך לא חשפו אם ואיך יעשו זאת. בפועל, מזרחי מספר כי נעשה שינוי קל בממשק מבחן הקול: גוגל ביטלה את רעשי הרקע ששמה לאורך ההקלטה, ושמה רעשים בתחילתו ובסיומו של הקטע הקולי, ובנוסף שינתה את הטקסט המוקרא ממספרים לביטויים.

עכשיו, אחרי שעקף בקלות יחסית גם את המערכת החדשה של גוגל, הוא ביצע אסגרה בשנית – וגם הפעם לא נראה שבגוגל התרגשו: "בחנו את (החולשה) שהגשת והחלטנו שלא לעקוב אחריו בתור באג אבטחה, מכיוון שאנו מודעים כבר לחולשה הזו", נכתב במייל שנשלח למזרחי ושהגיע גם לידינו.

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: [email protected]

הגב

7 תגובות על "איך עקף חוקר אבטחה ישראלי את reCaptcha של גוגל? עם כלים של גוגל כמובן"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
גילוי מרעיש
Guest
אפי
Guest

תקרא הוא מצא את זה לפני כמה שנים.זה חידוש.

אורי
Guest

אולי מספיק כבר עם הבדיקות המיותרות האלה שלא ממש עוזרות לכלום?
תמיד יהיו כלים ושירותים שיעקפו את זה, מיותר

תמוס עמם
Guest

חולשה ברמה נמוכה קיצר סתם התלהבת לממש קוד פייתון שפותר את זה נקסט

חוקר
Guest

מחקר וגילוי יפה, אהבתי.

אפי
Guest

וואלה….. מגניב לראות שיש חוקרים שעוקבים אחרי חולשות שנים..
אחלה אחי

אא א
Guest

אני אישית אהבתי!
מרשים בעיניי – (יש לי קצת נסיון עם מעקפים של קאפצ'ה…)

wpDiscuz

תגיות לכתבה: