Google的reCAPTCHA不再强大,安全专家从中发现漏洞

2016 年04 月19日

我们首先从’验证码’这个词开始今天的内容。”验证码”是”全自动区分计算机和人类的图灵测试”的缩写。验证码技术背后(以及图灵测试背后)的理念其实相当简单:一种人类很容易通过但在线机器人却难以完成的测试。验证码通常以扭曲的文字图片形式出现,用户需要正确填写以证明自己不是’机器人’。

验证码技术重要的原因在于:它能在许多方面提供简单且实用的安全保护,例如:保护网站遭到恶意注册、防止博客出现大量垃圾评论以及确保网上票选的公正性等等。一旦失去验证码技术的保护,网络黑客完全可以利用机器人程序注册海量的账号,在他人博客留下成千上万条留言,或者在同一个网络活动中无限次投票等等。

验证码最初的版本相对简单,因此很容易被计算机识别。在此之后,逐渐演变为网络黑客和验证码开发者之间的”军备竞赛”。一旦前者破解一个新的版本后,后者马上又设计出一个更强大的版本。

突然有一天,Google成为了这场”竞赛”的主角,发布了reCAPTCHA系统,至此以后就被公认为验证码标准。该系统不仅使用扭曲的文字同时还附有图片,因此被认为是最强大的验证码服务之一。reCAPTCHA技术除了Google自己使用外,包括Facebook在内的许多网站均将其作为反垃圾信息的一种安全保护手段。事实上,reCAPTCHA也是全球最受欢迎的验证码提供商。

不幸的是,reCAPTCHA技术似乎并没有最初想象的那般绝对安全。

位于哥伦比亚大学的安全研究专家们在Google的reCAPTCHA技术中发现了不少漏洞。这些漏洞将会为网络黑客大开方便之门,从而影响风险分析、绕过安全限制以及部署大规模攻击等。

研究专家们宣称他们能够设计出成本低廉的攻击系统,绕过reCAPTCHA图片验证码的成功率超过70%,且每次仅需花费19秒的时间。此外,他们还使用这一系统对Facebook的图片验证码进行试验,发现准确率竟然高达83.5%。如此高的准确率被认为是Facebook图片验证码过高的分辨率导致。

该系统所采用的技术能绕过cookies和令牌,并利用机器学习能力准确猜出图片。而有趣的是,reCAPTCHA破解系统的技术竟然来自于Google自己的反向图片搜索功能。并且该功能还可以脱机运行。

“而且我们可脱机运行的验证码破解系统无论是在准确率还是攻击持续性方面,均能与专业解决服务一较高下,还拥有零成本的优势。”研究专家表示,同时还强调了这一特殊攻击系统的简便性和成本效益。

在将这一研究成果公布前,研究专家们特意告知了Google和Facebook这些潜在漏洞。他们宣称Google正在试图提升reCAPTCHA的安全性,但Facebook却对他们的警告置若罔闻,似乎没有采取任何相对应的措施。

研究专家们相信,网络黑客只需花费2美元就能破解1000个验证码,但却能为他们带来每天超过100美元的收益。而如果他们同时发动多个攻击或采用其他技术的话,带来的经济利益将会更大。

这项研究告诉我们,网络安全世界仍然有许多问题有待解决,这也让像Google这样的许多公司有机会继续改进并更积极地看待现有安全保护措施。Google已明显表达了对增强其安全能力的兴趣,因此我们希望其他网站也能迎头赶上。