La autenticación de Google reCAPTCHA se puede omitir mediante bots

Incluso después de subsanar las fallas en su mecanismo en 2018, ReCAPTCHA de Google sigue siendo vulnerable a ser explotado por bots para evitar la autenticación. Un investigador publicó una prueba de concepto para esta exploración actualizada, que utilizó herramientas para extraer el archivo de audio de reCAPTCHA y enviarlo a la API Speech-to-text de Google para evitar la autenticación.

Explorando herramientas legítimas para eludir la autenticación

La autenticación de Google reCAPTCHA se puede omitir mediante bots

Para evitar crear cuentas falsas y bloquear el tráfico malicioso, un sistema de autenticación llamado CAPTCHA (Prueba pública de Turing totalmente automatizada para diferenciar computadoras y humanos) se inventó en 2014. Tal y como está el nombre, diferenciaría a humanos y robots al ofrecer un desafío lógico que resolver, antes de acceder al sitio.

Una versión actualizada de este servicio llamada reCAPTCHA fue adquirido por Google en 2009 y ahora es utilizado por cientos de miles de sitios. Aunque es para un buen uso, los investigadores de la Universidad de Maryland publicaron una nueva investigación llamada «unCaptcha”En abril de 2017, donde engañaron con éxito este protocolo de autenticación.

ReCAPTCHA tiene un modo de audio que está destinado a usuarios con discapacidad visual, para escuchar y descifrar la pregunta lógica que plantean. Los investigadores aquí dirigieron esto, ya que usaron herramientas como Selenium para descargar la muestra de audio de la función de audio reCAPTCHA, ingresarla en la API Speech-to-Text de Google y obtener el resultado preciso.

Este método tuvo tanto éxito que proporcionó un 85% de resultados precisos e incluso promovió a Google a actualiza tu reCAPTCHA en junio de 2018, para tener más seguridad en la detección de bots. Sin embargo, los mismos investigadores apareció de nuevo para explorar la actualización, con una mejor puntuación de precisión del 91%.

Ahora, un investigador llamado Nikolai Tschacher ha reveló su trabajo ordinario
prueba de concepto de que dicha exploración sigue siendo viable. Incluso después de tres años de existencia, Google no puede solucionarlo correctamente, ya que ahora los niveles de precisión han aumentado al 97%.