상세 컨텐츠

본문 제목

구글의 reCaptcha, 또 다시 해킹 돼

국내외 보안동향

by 알약(Alyac) 2017. 11. 3. 15:22

본문

GOOGLE’S RECAPTCHA CRACKED AGAIN


구글의 reCaptcha 서비스가 또 다시 해킹 되었습니다. 


University of Maryland의 연구원들은 이 서비스를 85%의 확률로 뚫을 수 있는 자동화 된 공격을 고안해냈습니다.


이 연구원들은 구글의 reCaptcha V2 서비스의 오디오 문제 옵션을 악용하는 unCaptcha라는 툴을 만들어냈습니다.


reCaptcha는 이미지, 오디오 또는 텍스트 문제들을 이용해 봇이 아니라 사람이 계정에 로그인을 시도하는지 알아내는 구글의 기술이며, 무료 서비스입니다.


“unCaptcha를 실제 웹사이트에서 450개 이상의 reCaptcha 문제에 테스트 해본 결과 5.42초 내에 85.15%의 확률로 문제를 풀어낼 수 있었습니다.”


unCaptcha는 문제 속 이미지에 의존하지 않고, 첨부 된 오디오 클립을 이용해 숫자나 문자를 식별합니다. 이 오디오 captcha들은 이미지를 볼 수 없는 시각 장애를 가진 사용자들을 위해 만들어졌습니다.


unCaptcha는 온라인 무료 음성 인식(speech-to-text) 엔진과 고급 음성 매핑 기술을 결합해서 만들어졌습니다. 


먼저, 연구원들은 브라우저 자동 소프트웨어를 사용해 reCaptcha 서비스에서 오디오 옵션을 선택합니다. 이로써 사운드 파일을 다운로드할 수 있게 됩니다. 다음으로, 무료 온라인 음성인식 서비스를 사용해 오디오로 주어지는 단어 문제를 풀 수 있습니다.


“음성 인식 서비스의 추측에 음성 매핑을 수행 후, 우리는 하나의 답을 알아내기 위해 답변들을 모았습니다. 답변이 결정 되면, unCaptcha는 해당 답변을 필드에 입력 후 ‘확인’버튼을 누릅니다.”





reCaptcha가 무력화 된 것은 이번이 처음은 아닙니다. 지난 3월, 보안 연구원들은 구글의 reCaptcha를 우회하는 자세한 PoC 우회법을 공개한 적 있습니다.




출처 :

https://threatpost.com/googles-recaptcha-cracked-again/128690/



관련글 더보기

댓글 영역