0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Google AI骗过了Google,工程师竟无计可施?

电子工程师 来源:lq 2019-02-04 09:35 次阅读

如果你通过 Google 搜索购买演唱会门票或者注册论坛账号,系统会提示你必须点击几个图框、音频或者移动鼠标等操作来确认是人类在操作验证而不是机器人

其背后的验证机制就是 CAPTCHA(验证码),保护互联网服务免受诸如 Sybil 的攻击,这是互联网防止自动创建帐户和滥用服务的第一道防线。而 Google 的 reCaptcha 服务是最受欢迎的验证码系统之一,目前被成千上万的网站用于测试用户是否是人类,以防范机器人的攻击。

reCAPTCHA 发布之后,无论是安全专家还是研究人员都在试图挑战它,找出它的漏洞,比如一些专家就试图通过反向图像搜索、深度学习和“实验神经科学数据”来进行攻击。这些方法要么成功率较低或者很快就被 Google 团队迅速补上了漏洞。但其中一种攻击方法让 Google 团队看上去束手无策。

马里兰大学的研究人员声提出的 unCaptcha 攻击方法 unCaptcha 可以轻松骗过 Google reCaptcha。他们使用来自实时网站的超过 450 次 reCaptcha 挑战来评估 unCaptcha,并证明可以在 5.42 秒内以 85.15% 的准确率进行破解。

该方法的原理让人万万没想到的是:在用户请求语音验证码后,只要把收到的内容转发给 Google 语音转文字 API,然后把收到的回复进行提交,最后竟然给轻易破解了。

古人问:以子之矛,攻子之盾,何如?

Google reCaptcha 团队:其人弗能应也......内心苦,说不出。

微博网友如此调侃:

怎么会这样呢?

上述研究人员最初在 2017 年开发了 UnCaptcha,他们在发表的论文《unCaptcha: A Low-resource Defeat of reCaptcha's Audio Challenge》中给出了更为详细的解释:通过 UnCaptcha 下载音频验证码,将音频分成单个数字音频片段,将片段上传到多个其他语音转文本服务(包括 Google),然后将这些服务得出的结果转换为数字编码。随后经过一些同音词猜测后,它会决定哪个语音到文本输出最接近准确值,然后将答案上传到 CAPTCHA 字段。

这还是 unCaptcha 1.0 版本,成功率便达到 85%。在这一版发布后,Google 随即修复了一些漏洞,包括提升浏览器自动检测性能以及将验证方式从数字编码切换为短语音,这成功防止了 unCaptcha 的攻击。

不过,上述研究人员在 2018 年 6 月升级了新方法,unCaptcha v2 依然可以绕过这些防御机制,并且“魔高一丈”,准确性比以前更高,达到了 90%。

这次他们还公布了 v2 版的代码和更详尽的步骤,研究人员称 unCaptcha2 的操作方法很简单:

导航到 Google 的 ReCaptcha 演示网站

导航到 ReCaptcha 的音频挑战

下载音频挑战

将音频挑战提交到 Speech To Text

解析响应和类型答案

按提交并检查是否成功

(过程演示)

由于 unCaptcha2 必须转到屏幕上的特定坐标,因此你需要根据设置更新坐标。这些坐标位于 run.py 的顶部。在 Linux 上,使用命令 xdotool getmouselocation --shell 查找鼠标的坐标可能会有所帮助。

你还需要为选择的任何语音转文本的 API 设置证书。由于 Google,微软和 IBM 的语音转文本系统看起来效果最好,因此这些系统已包含在 queryAPI.py 中。此外,你必须根据需要设置用户名和密码,对于 Google 的 API,必须使用包含 Google 应用程序证书的文件设置环境变量(GOOGLE_APPLICATION_CREDENTIALS)。

最后,使用安装依赖项 pip install -r dependencies.txt,大功告成。

到此你还有疑惑问这难道不是黑客攻击吗?Google 没报警?研究人员的说法是,他们已经联系了 Google ReCaptcha 团队,提醒 Recaptcha 更新后的系统安全性更差了,所以后者完全了解这次攻击的事件,而研究人员非但没有受到任何干扰,而且在破解成功率如此之高的情况下,ReCaptcha 团队甚至允许他们公布代码。

当然,这些研究人员这么努力找 ReCaptcha 的 bug,并善意提醒ReCaptcha 团队基础架构的问题,却没能得到 Google 的奖励,研究人员也特意强调了这一点。

ReCaptcha 团队暂时未给出应对攻击的进一步措施,但研究人员最后发布免责声明称,当 Google 再度更新 ReCaptcha 服务时,他们将不再更新 GitHub 库。因此,他们预计 unCaptcha2 攻击方法未来会失效,项目本身也会随时中断。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Google
    +关注

    关注

    5

    文章

    1758

    浏览量

    57434
  • 互联网
    +关注

    关注

    54

    文章

    11119

    浏览量

    103068

原文标题:Google AI骗过了Google,工程师竟无计可施?

文章出处:【微信号:rgznai100,微信公众号:rgznai100】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    不只是小米,Google和大学为黑人工程师推出居住计划

    有一系列系统性的问题继续伤害黑人工程师的工作机会。Google可以自己解决其中的一些问题;并且与霍华德这样的合作伙伴关系,它可以帮助更有抱负的工程师最终获得他们一直在学习的职位。
    发表于 03-24 09:08 1069次阅读

    使用google-translate和wwe合并后无法使用google-tts怎么解决?

    我打算使用lyrat-mini做一个使用唤醒词唤醒然后后续通过google-sr和google-tts进行交流的聊天机器人,但是当我合并了adf的例子中的wwe和google-translate之后
    发表于 06-28 06:05

    google恶意软件警告提示怎么处理?

    google恶意软件警告提示怎么处理?google恶意软件警告处理方法按google说明:如果您检查过网站并确认网站已恢复安全,便可以提交重新审核的请求:请注意,您需要先验证网站的所有权,然后才能
    发表于 04-27 11:23

    【转载】Google Glass应用开发探索

    Google Glass应用。 作者Macy Kuang,加拿大theScore公司资深技术指导,从事手机移动游戏以及软件开发。她是AndroidTO主办人,曾任GameLoft及Webkinz资深工程师。微博ID:@Macyk`
    发表于 06-28 02:21

    Google 工程师警告,当心质量不佳的 USB Type-C 线材损坏设备

    Google Chromebook Pixel 笔电和 PixelC 平板的工程师 Benson Leung 发现,市面上部分线材并未遵循规范,有些线材 CC 针脚直接浮接,或者是使用了错误规格
    发表于 11-08 21:39

    最受工程师欢迎的车载设计方案——基于STM32+GPRS+GPS+Google Earth的车载导航定位系统

    数据库中,并以Google Earth(GpsGoogleEarth)的形式呈献给监控人员。基于Google Earth的软件设计解析:基于Google Earth的软件的编写主要有两种方式:一种是内嵌
    发表于 08-28 15:32

    Google掌舵人:打电话AI是一次非凡突破

    通过图灵测试!Google掌舵人说“打电话AI”是一次非凡突破
    发表于 05-12 13:45

    Python成为软件工程师的最爱

    Python成为软件工程师的最爱在2020年,Python、Java、AWS 和Web开发框架(React、Angular、Spring 和 Node.js)将成为最受软件工程师欢迎的技能。2021
    发表于 11-27 10:33

    Google新发布的Google Pixel 2、Pixelbook参数价格分享

    Google Home Mini 建议售价 49 美元,Google Home Max 搭载 Google 最新开发的 AI 技术 Smart Sound,可根据放置在家中的位置自动调
    发表于 01-11 07:52 1989次阅读

    Google工程师的一天

    最近我在想,和在哈佛时的院系工作相比,在Google上班日子到底有多么不同。最大的差别就是,在哈佛一周,如果我要是能半个小时做些和编程相关的事,那真是走大运了。而我在 Google 将近有(或超过
    的头像 发表于 08-15 14:29 2014次阅读

    Facebook挖走Google高级工程师主管Shahriar Rabii

    据外媒 The Information 报道,Facebook 正在投入更多资源用于开发 AI 芯片,并在本月挖走 Google 高级工程师主管 Shahriar Rabii,此前这位主管曾是
    的头像 发表于 07-19 09:00 3460次阅读

    Google招聘工程师时主要看中哪些方面?

    工程师的过程跟从前大不一样了——有一部分改变是特意设计的。在 Google,我们刻意扩大了校园招聘的范围,从前几年的 75 所增加到了目前的 305 所。除了计算机系的学生,我们同样也对英语系
    的头像 发表于 08-01 15:21 3254次阅读

    揭秘Google两大超级工程师AI领域绝无仅有的黄金搭档

    这个临时“战情室”相当简陋,为了尽快开展工作,Google 工程师们直接将门架起来当作桌子办公了。当时,27 岁的 Craig Silverstein 也搬到了“战情室”,作为 Google 第一名员工,他在 Brin 创业初期
    的头像 发表于 12-12 14:13 2475次阅读

    Google AI骗过工程师 Google团队却束手无策

    如果你通过 Google 搜索购买演唱会门票或者注册论坛账号,系统会提示你必须点击几个图框、音频或者移动鼠标等操作来确认是人类在操作验证而不是机器人。
    的头像 发表于 01-08 16:17 2994次阅读

    Google工程师文化是怎样的

    和特点,再一次加强了了 Google 在我心目中的形象:工程师的天堂。Q&A 环节中有一个同事问了一个问题,他说:
    的头像 发表于 02-22 14:16 3244次阅读