Incluso después de rectificar las fallas en su mecanismo en 2018 , reCAPTCHA de Google sigue siendo vulnerable a ser explotado por bots para evitar la autenticación. Un investigador publicó una prueba de concepto para esta explotación actualizada, que utilizó herramientas para extraer el archivo de audio de reCAPTCHA y enviarlo a la API Speech-to-text de Google para omitir la autenticación.

Explotación de herramientas legítimas para eludir la autenticación

La autenticación reCAPTCHA de Google se puede omitir mediante bots

Para evitar la creación de cuentas falsas y bloquear el tráfico malicioso, en 2014 se inventó un sistema de autenticación llamado CAPTCHA (prueba de Turing pública completamente automatizada para diferenciar a las computadoras y a los humanos). resolver, antes de acceder al sitio.

Google adquirió una versión mejorada de este servicio llamada reCAPTCHA en 2009 y ahora la utilizan cientos de miles de sitios web. Si bien está destinado a ser para un buen uso, los investigadores de la Universidad de Maryland publicaron una nueva investigación llamada " unCaptcha " en abril de 2017, donde engañaron con éxito este protocolo de autenticación.

El reCAPTCHA tiene un modo de audio que está destinado a usuarios con discapacidad visual, para escuchar y descifrar la pregunta lógica que se les plantea. Los investigadores aquí se han centrado en esto, ya que utilizaron herramientas como Selenium para descargar la muestra de audio de la función de audio de reCAPTCHA, alimentarla a la API Speech-to-Text de Google y obtener el resultado preciso.

Este método fue tan exitoso que dio un 85% de resultados precisos e incluso promovió a Google para que actualizara su reCAPTCHA en junio de 2018, para estar más seguro en la detección de bots. Sin embargo, los mismos investigadores han aparecido nuevamente para explotar el actualizado, ¡con una mejor puntuación de precisión del 91%!


Ahora, un investigador llamado Nikolai Tschacher ha revelado su trabajo con una prueba de concepto de que esta explotación aún es viable. Incluso después de tres años de existencia, Google no lo parchea correctamente, ya que ahora los niveles de precisión han subido al 97%.