研究人員輕鬆破解reCAPTCHA v2語音驗證

來自美國馬里蘭大學的研究團隊在2019年的1月釋出unCAPTCHA 2.0，以破解Google reCAPTCHA v2專供盲人使用的語音驗證，即便Google已著手修補，但近日一名29歲的電腦科學研究人員Nikolai Tschacher，則以unCAPTCHA 2.0為基礎，並利用Google自家的Speech-to-Text API，再度破解了reCAPTCHA v2的語音驗證，同時也相信該開採程式也適用於reCAPTCHA v3，且成功機率高達97%。

CAPTCHA的全名為「全自動電腦及人類圖形鑑別測試系統」（Completely Automated Public Turing test to tell Computers and Humans Apart），可透過圖像、文字或語音來驗證來者是人類或機器人，Google於2009年買下專門提供CAPTCHA圖像驗證機制的reCAPTCHA後，即不斷強化reCAPTCHA的能力。在reCAPTCHA v1時代，使用者仍必須辨識並輸入圖像中扭曲的文字，於2014年推出的reCAPTCHA v2，則已進展到只需勾選「我不是機器人」（I'm not a robot）就能辨識是人類或機器人，讓reCAPTCHA挑戰退居第二線，於2018年發表的reCAPTCHA v3則是在背景執行風險分析，只在發現可疑流量時通知網站，又被稱為隱形reCAPTCHA技術。

當初馬里蘭團隊破解reCAPTCHA v2語音驗證的作法，是把該機制所產生的語音檔上傳到包括Google Speech-to-Text在內的各種語音轉文字等服務上，找出最佳解答再回傳答案，成功機率高達90%。

之後Google著手修補了該漏洞，移除了語音下載選項，而Tschacher則重新透過開發者控制台找到了語音下載連結，同時隨機化滑鼠的移動，更只透過Google自家的Speech-to-Text API來翻譯其語音挑戰，結果成功機率高達97%。

Tschacher撰寫了一個機器人程式來破解reCAPTCHA v2，也說reCAPTCHA v3是奠基在reCAPTCHA v2上，因此相信該程式也適用於reCAPTCHA v3，不過，他認為Google應該會限制執行語音驗證的數量，而使得此一作法無法大量執行。

外界則預期Google應該很會就會修補該漏洞，以讓此一概念性驗證程式失效。