RebreakCaptcha – 구글의 API를 사용해 ReCaptcha v2 우회하는 방법 발견 돼

RebreakCaptcha – 구글의 API를 사용해 ReCaptcha v2 우회하는 방법 발견 돼

ReBreakCaptcha – How to breaking Google’s ReCaptcha v2 using Google’s APIs

최근 보안 연구원이 구글의 reCaptcha V2 인증 시스템을 우회하는 PoC를 고안해 냈습니다. 이 방법은 ReBreakCaptcha라 명명되었습니다.

이 PoC는 구글의 웹기반 툴을 사용합니다. 

제작자에 따르면, ReBreakCaptcha를 사용하면 “웹의 어디에서나 구글의 reCaptcha v2를 쉽게 우회할 수 있다.”

CAPTCHA 서비스는 한번에 수 천개의 계정들을 등록하는 봇이나 스크립트를 무효화 하기 위해 고안되었으며, ReCaptcha는 이미지, 오디오, 텍스트 문제들을 활용해 온라인 서비스에 접근한 것이 사람인지 여부를 확인하는 방법입니다.

<출처 : http://securityaffairs.co/wordpress/56816/hacking/rebreakcaptcha-google-recaptcha-hacking.html>

ReBreakCaptcha는 구글 API를 활용해 오디오 문제를 사운드 파일로 캡쳐하는 스크립트를 사용해 reCaptcha v2를 우회할 수 있습니다.

ReBreakCaptcha는 다음과 같은 3단계로 동작합니다.

오디오 문제 – 오디오 문제 유형을 얻는다.

인식 – 오디오 문제의 오디오를 변환해 구글의 음성 인식 API로 보낸다.

확인 – 음성 인식 결과를 확인해 ReCaptcha를 우회한다.

<출처 : http://securityaffairs.co/wordpress/56816/hacking/rebreakcaptcha-google-recaptcha-hacking.html>

ReBreakCaptcha 기술에 관심이 있다면, GitHub에서 파이썬 기반의 PoC 스크립트를 확인할 수 있습니다.

참고 :

http://securityaffairs.co/wordpress/56816/hacking/rebreakcaptcha-google-recaptcha-hacking.html

https://east-ee.com/2017/02/28/rebreakcaptcha-breaking-googles-recaptcha-v2-using-google/

https://github.com/eastee/rebreakcaptcha