Группа исследователей из Стэнфордского университета, Университета Тулейна и французского института INRIA разработала систему Decaptcha, без особых проблем справляющуюся с большинством современных аудио-капч.
В ходе исследования (PDF ) были изучены аудио-капчи сервисов eBay, Yahoo, Digg, Authorize.net, Live.com и reCAPTCHA. Все эти капчи используют один или несколько голосов, произносящих последовательность фиксированного количества цифр или же цифр с буквами. На некоторые из них накладывается звуковой шум того или иного характера.
Исследователи сумели разработать алгоритм, который, после процесса обучения (подстройки под каждую из систем аудио-капч), способен самостоятельно взламывать их с большой долей вероятности. Они считают, что, поскольку у злоумышленников часто имеются под рукой ботнеты, даже одна успешная попытка из ста считалась бы хорошим результатом. Однако рубеж в 1% во многих случаях они преодолели с лихвой.
В частности, наименее устойчивой ко взлому оказалась аудио-капча Authorize, состоящая из 5 цифр или букв, которые чётко произносятся женским голосом: точность автоматического распознавания такой капчи составила 89%. Затем идут eBay c 82%, майкрософтовский Live (48,9%), Yahoo! (45,45%) и Digg (41%).
Особняком стоит гугловская reCAPTCHA. Decaptcha справляется с этой системой лишь в 1,5% случаев, благодаря использующемуся в ней особому "шуму". Помимо идущего фоном голосового общения, здесь присутствует звуковой сигнал, который для алгоритма выглядит как лишние цифры (в форме волны). На семантическом же уровне эти сигналы удаётся отсеять (хотя в исследовании и указывается, что reCAPTCHA хуже всего распознаётся людьми, мы не испытали с ней особых трудностей).
Исследователи рекомендуют разработчикам аудио-капч изучить возможности добавления в них такого рода "семантических шумов". Впрочем, сами они тоже собираются плотнее заняться этими шумами, так что, возможно, в будущем и такую защиту им удастся обойти. Кроме того, они планируют изучать и капчи, содержащие целые слова, а не отдельные буквы.
Напомним, что в "дикой природе" уже были отловлены "троянские кони", взламывающие аудио-капчу майкрософтовских сервисов Hotmail, Live.com и MSN. Нередко таким ботам удавалось выдать себя за человека уже со второй попытки.
Источник: Вебпланета
|