研究人员轻松破解reCAPTCHA v2语音验证

来自美国马里兰大学的研究团队在2019年的1月释出unCAPTCHA 2.0，以破解Google reCAPTCHA v2专供盲人使用的语音验证，即便Google已着手修补，但近日一名29岁的电脑科学研究人员Nikolai Tschacher，则以unCAPTCHA 2.0为基础，并利用Google自家的Speech-to-Text API，再度破解了reCAPTCHA v2的语音验证，同时也相信该开采程式也适用于reCAPTCHA v3，且成功概率高达97%。

CAPTCHA的全名为“全自动电脑及人类图形鉴别测试系统”（Completely Automated Public Turing test to tell Computers and Humans Apart），可透过图像、文字或语音来验证来者是人类或机器人，Google于2009年买下专门提供CAPTCHA图像验证机制的reCAPTCHA后，即不断强化reCAPTCHA的能力。在reCAPTCHA v1时代，使用者仍必须辨识并输入图像中扭曲的文字，于2014年推出的reCAPTCHA v2，则已进展到只需勾选“我不是机器人”（I\'m not a robot）就能辨识是人类或机器人，让reCAPTCHA挑战退居第二线，于2018年发表的reCAPTCHA v3则是在背景执行风险分析，只在发现可疑流量时通知网站，又被称为隐形reCAPTCHA技术。

当初马里兰团队破解reCAPTCHA v2语音验证的作法，是把该机制所产生的语音档上传到包括Google Speech-to-Text在内的各种语音转文字等服务上，找出最佳解答再回传答案，成功概率高达90%。

之后Google着手修补了该漏洞，移除了语音下载选项，而Tschacher则重新透过开发者控制台找到了语音下载连结，同时随机化鼠标的移动，更只透过Google自家的Speech-to-Text API来翻译其语音挑战，结果成功概率高达97%。

Tschacher撰写了一个机器人程式来破解reCAPTCHA v2，也说reCAPTCHA v3是奠基在reCAPTCHA v2上，因此相信该程式也适用于reCAPTCHA v3，不过，他认为Google应该会限制执行语音验证的数量，而使得此一作法无法大量执行。

外界则预期Google应该很会就会修补该漏洞，以让此一概念性验证程式失效。