Los unCaptcha el sistema automatizado puede una vez más evitar los desafíos reCAPTCHA de Google a pesar de las actualizaciones importantes del servicio de seguridad.
Ha vuelto a suceder, el sistema automatizado de unCaptcha puede omitir el mecanismo reCAPTCHA de Google, incluso si se ha mejorado con el paso de los años.
Los unCaptcha El sistema se creó en 2017 para evitar el mecanismo reCAPTCHA utilizado para proteger los sitios web contra abusos.
Después de que unCaptcha fue presentado por investigadores de la Universidad de Maryland (UM), Google mejoró su seguridad para evitar que Google reCAPTCHA
Ahora unCaptcha se ha modificado y puede omitir Google reCAPTCHA nuevamente.
Los unCaptcha es capaz de evitar los desafíos de audio presentados por reCAPTCHA, también se puede usar para evitar otros sistemas de seguridad como BotDetect, Yahoo y los desafíos de imagen de PayPal.
El sistema recibe el desafío de audio, lo descarga y lo envía a Speech To Text. El unCAPTCHA analiza la respuesta y escribe la respuesta, luego hace clic en enviar y verifica si la respuesta al desafío fue correcta.
Los expertos de Google introdujeron un par de características para mejorar reCAPTCHA, mejoraron la detección de automatización del navegador y utilizaron frases habladas en lugar de dígitos hablados. losunCaptcha El sistema ahora usa una pantalla taconeador para imitar el movimiento humano en una página.
Desde junio de 2018, unCaptcha se actualizó para evitar nuevamente el servicio de seguridad de Google.
"Creado en abril de 2017, unCaptcha Logré el 85% de precisión derrotando a ReCaptcha de Google. Después del lanzamiento de este trabajo ”, explicaron los expertos.
"Google lanzó una actualización a ReCaptcha con los siguientes cambios importantes: Mejor detección de la automatización del navegador y frases habladas en lugar de dígitos"
Los investigadores compartieron su trabajo con el equipo de ReCaptcha que, después de seis meses, les autorizó a liberar el código.
"El equipo de Recaptcha es consciente de este vector de ataque, y ha confirmado que está de acuerdo con que liberemos este código, a pesar de su tasa de éxito actual. Este vector de ataque se consideró fuera del alcance del programa de recompensa de errores ", continúan los expertos.
“Gracias a los cambios en el desafío de audio, pasar ReCaptcha es más fácil que nunca. Ahora el código solo necesita realizar una única solicitud a una API de voz a texto gratuita y disponible públicamente para lograr aproximadamente el 90% de precisiónen general captchas"
Los expertos señalaron que la nueva variante de unCaptcha no se actualizará cuando Google mejore su servicio, también eliminaron sus claves de API de todas las consultas necesarias.
“UnCaptcha2, al igual que la versión original, pretende ser una prueba de concepto. A medida que Google actualice su servicio , este repositorio noseractualizado. Como resultado, no se espera que funcione en el futuro y es probable que se rompa en cualquier momento ", concluyen los expertos.
“Desafortunadamente, debido al trabajo de Google en la detección de automatización del navegador, esta versión de unCaptcha no usa Selenium. Como resultado, el código tiene que navegar a partes específicas de la pantalla. Para ver unCaptcha trabajando para usted, deberá cambiar las coordenadas para la resolución de su pantalla.
Mientras que unCaptcha2 está sintonizado para el sitio de demostración de Google, se puede cambiar para que funcione para cualquier sitio de este tipo: la lógica para derrotar a ReCaptcha será la misma.
Fecha actualización el 2021-01-04. Fecha publicación el 2019-01-04. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: securityaffairs