Breaking News

บายพาส reCAPTCHA โดยใช้ “ช่องโหว่ทางตรรกะ” ของ Google

นักวิจัยด้านความมั่นคงปลอดภัยนาม East-Ee ออกมาเปิดเผยถึงสิ่งที่เขาเรียกว่า “ช่องโหว่ทางตรรกะ (Logic Vulnerability)” ซึ่งช่วยให้เขาสามารถสร้างสคริปต์ Python เพื่อบายพาสการตรวจสอบว่าเป็น Bot ของ ReCAPTCHA กว่าล้านเว็บไซต์ได้โดยใช้บริการของ Google อีกรายการหนึ่ง คือ Speech Recognition API

East-Ee ตั้งชื่อการโจมตีนี้ว่า “ReBreakCaptcha” ซึ่งเขาอ้างว่าค้นพบช่องโหว่บน reCAPTCHA ตั้งแต่ปี 2016 และเมื่อเขาตัดสินใจที่จะเปิดเผยช่องโหว่ในวันนี้ ช่องโหว่ดังกล่าวก็ยังคงอยู่ ไม่มีการแพทช์แต่อย่างใด และยังไม่แน่ชัดว่า Google ทราบถึงช่องโหว่ดังกล่าว

East-Ee ระบุว่า การโจมตีของเขาใช้ได้ผลกับ reCAPTCHA v2 ซึ่งเป็นเวอร์ชันล่าสุดของบริการ reCAPTCHA จาก Google เท่านั้น โดยใช้วิธีโจมตีผ่านทาง Audio Challenge ระบบตรวจสอบ Bot อีกทางเลือกหนึ่ง ซึ่งจะปรากฏให้เห็นเมื่อกดปุ่มรูปหูฟังด้านล่างของป๊อปอัป reCAPTCHA

ในกรณีที่ผู้ใช้ เช่น ตัว East-Ee เองใช้เบราเซอร์เวอร์ชันเก่าที่ไม่รองรับการเล่น Audio ทาง Google จะยอมให้ผู้ใช้ดาวน์โหลด Audio Challenge ไปเปิดฟังบนเครื่อง ดังที่เห็นตามภาพด้านล่าง

เมื่อได้ไฟล์ Audio มาแล้ว เขาสามารถนำไฟล์ดังกล่าวไปเข้าบริการ Speech Recognition API ต่อ เพื่อให้คืนค่าข้อความจากไฟล์เสียงนั้นได้ ซึ่ง East-Ee สามารถนำค่าดังกล่าวไปกรอกในช่องคำตอบของ reCAPTCHA ได้ทันที

เรียกได้ว่าเป็นแนวคิดที่ง่ายมาก เพราะอาศัยช่องโหว่ทางตรรกะของบริการของ Google เอง ที่สำคัญคือ การโจมตีนี้สามารถทำได้โดยอัตโนมัติผ่านการเขียนสคริปต์แล้วเอาไปฝังไว้เป็น Extension ของเบราเซอร์ หรือทำเป็น Web-based Service ก็ได้ ผู้ที่สนใจสามารถดาวน์โหลดโค้ดสำหรับ PoC ได้ที่ GitHub

ที่มา: https://www.bleepingcomputer.com/news/security/researcher-breaks-recaptcha-using-googles-speech-recognition-api/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] iZeno รับมอบรางวัล Atlassian Partner of the Year 2019: Rising Star APAC

วันนี้ Atlassian ได้ประกาศสู่สาธารณะว่า บริษัท iZeno ถูกเลือกให้ได้รับรางวัล Atlassian Partner of the Year 2019: Rising Star APAC สืบเนื่องมาจากผลงานและความสำเร็จที่โดดเด่นในช่วงปีปฏิทิน 2019 โดยรางวัลอันทรงเกียรตินี้สะท้อนให้เห็นถึงความพยายามในการสร้างธุรกิจใหม่, การขับเคลื่อนความเป็นผู้นำเชิงความคิด รวมถึงเชื่อมต่อผลิตภัณฑ์และบริการเป็น solution stack ที่สามารถตอบโจทย์ความต้องการของลูกค้าทั้งในส่วนของ DevOps และ IT Service Management Solution (ITSM) ทั้งหมดนี้ได้เติมเต็ม Atlassian ในภาพรวมให้มีความสมบูรณ์แบบมากยิ่งขึ้น

[Guest Post] Case Study : บริษัท ASIAN-PACIFIC CAN CO., LTD. เลือกใช้ Sangfor HCI เพิ่มประสิทธิภาพการใช้งานด้าน IT และ Productivity ในโรงงานอุตสาหกรรม

บทความนี้เราจะพาไปดูกันว่าทำไมบริษัท Asian-Pacific Can จึงเลือกใช้นวัตกรรม Software-Defined Data Center จาก Sangfor เพื่อแก้ไขปัญหาระบบ IT ภายในโรงงานอุตสาหกรรม และสามารถเพิ่มประสิทธิภาพการทำงานของซอฟต์แวร์ Enterprise Resource …