Разработчик обманул капчу Google с помощью другого сервиса Google И вы тоже так можете

Анонимный разработчик, называющий себя Eastee, рассказал о легком способе взломать ReCAPTCHA — капчу от Google, которая должна защищать сайты от роботов. Причем сделал он это с помощью другого сервиса Google.

Капча — это небольшая задачка, с которой легко может справиться человек, но не компьютер. Она нужна там, где нужно защититься от автоматизированных действий: например, чтобы комментарии на сайте оставляли только живые люди.

Классическая капча — это искаженная строка текста, которая понятна человеку, но которую сложно прочитать машине. Правда, со временем появились эффективные алгоритмы, позволяющие компьютеру справляться с такими капчами. А если пытаться усложнять механизм искажения строки, можно дойти до вариантов, которые не поймет человек.

Принадлежащий Google сервис ReCAPTCHA работает иначе: он предлагает пользователю несложную логическую задачку, с которой не может справиться компьютер. Чаще всего нужно выбрать из нескольких картинок те, что соответствуют определенному критерию.

Решить такую задачу с помощью компьютера непросто, но Eastee нашел способ обойтись без необходимости распознавать объекты на изображениях.

В ReCAPTCHA встроена альтернативная капча для слабовидящих людей — если нажать на иконку с изображением наушников, откроется аудиоплеер и поле ввода. Пользователь должен прослушать звук и ввести цифры, которые он услышал. Аудиофайл при желании можно скачать на компьютер.

А еще у Google есть сервис распознавания речи, причем очень хороший: он использует в работе нейросети, знает 80 языков и бесплатен для небольших объемов аудио. Eastee решил «скормить» файл из ReCAPTCHA этому сервису. И все получилось!

Разработчик написал небольшой скрипт на Python, который автоматизирует работу по расшифровке капчи от Google: он находит и скачивает аудиофайл, конвертирует его в нужный формат, расшифровывает аудио и вводит результат в соответствующее поле.

Поскольку «Медузе» не удалось запустить скрипт Eastee, мы вручную скачали аудиофайл из ReCAPTCHA и проверили ключевую часть программы — ту самую, которая расшифровывает аудио через Google. Скрипт выдал те цифры, которые звучали в капче.

Некоторые читатели блога Eastee пожаловались, что у них скрипт не работал или выдавал неправильные результаты. Разработчик им не ответил.

«Медуза» попыталась связаться с Eastee, однако на момент публикации заметки он не ответил на письмо. Разработчик создал блог и аккаунт на GitHub специально для публикации материалов о взломе ReCAPTCHA. Почту Eastee создал в сервисе Mail.Ru.