Otra reciente investigación que demuestra lo vulnerable que son las captchas de audio de Gmail ha sido publicada en Wintercore Labsb, el artículo omite pasos importantes del proceso ya que no pretende convertirse en un tutorial para los spammers. Si el tema realmente te interesa te recomiendo que lo leas directamente desde allí (en inglés), aquí simplemente voy a destacar algunos puntos de forma resumida.
Seguramente todos los aficionados de los juegos de azar alguna vez intentaron encontrar algún patrón repetitivo en alguna máquina para ganar dinero, pues bien, con las captchas sucede algo por el estilo ya que si tienen patrones predecibles son vulnerables. Una de las mejores es la Asirra (Animal Species Image Recognition for Restricting Access) de Microsoft Research, esta captcha muestra imágenes de perros y gatos para que la persona simplemente responda si está viendo unos u otros. La interpretación del problema es muy sencilla para los humanos pero diseñar un programa que sea capaz de diferenciar los animales en imágenes al azar es realmente muy complicado y de hecho algunos gurús lo han conseguido pero con tazas de éxito demasiado bajas.
.
La captcha de audio de Google consiste en un archivo wav incrustado en la web que al cargarse reproduce una serie limitada de números, dos veces. Según Wintercore, presenta patrones que son fácilmente predecibles, si la escuchamos notaremos rápidamente un patrón fijo que nos permite determinar dónde la secuencia de audio comienza y termina. Este justamente es el primer error obvio mencionado en Wintercore, otros errores destacados son por ejemplo una baja distorsión de la señal, la utilización de la misma voz y tal vez el error más importante es ''el desafío que presenta la captcha'', es decir simplemente ingresar una secuencia numérica.
La técnica utilizada en este caso para romper la captcha de audio se basa en un análisis de Fourier y logra una taza de éxito que supera levemente el 90%. En una demo en video publicada en el sitio podremos ver el funcionamiento de una herramienta especialmente diseñada para interpretar las secuencias, por razones obvias no está disponible para el público. Por último se menciona que Facebook implementa un diseño similar y hereda los mismos errores, ingresando a la página podremos comprobar que efectivamente el audio presenta patrones similares a los de Google.
Descarga el video:
http://blog.wintercore.com/files/breaking_gmail_audio_captcha.wmv
Vía: The Hacker Webzine.
2 comentarios:
Realmente interesante.
Pero...
¿Captchas en audio? En mi ignorancia no les veo la lógica.
¿Qué pasa si estoy en un cibercafé y no puedo escuchar nada? ¿O en un salón de clases? O qué se yo.
En mi caso utilizo audifonos cuando estoy en la PC. Pero no siempre los tengo puestos. ¿Significa que debo andar con esos cosos puestos todo el día si el uso de captchas de audio se masifica?
Ya eso para mí es una desventaja. La otra es que, si Google decide poner los Captchas de audio tan enredados como los captchas comunes y silvestres, entones mi amigo, más nunca volveré a entrar a Blogger. Porque esos Captchas de letricas verdes o rojas me vuelven loco. No necesito unos de audio que vengan con la misma distorsión xD
Miself, generalmente se le da al usuario a elegir,entre un sistema visual o uno sonoro. Supongo ke sera para gente no vidente ke por ovbias razones los lectores de pantalla no leen el captcha :P
Nunca van a colocar un solo sistema, discriminando de esta forma a ciegos o sordos segun el caso.
Publicar un comentario en la entrada
Si deseas hacer una consulta por favor visita el Foro de Ayuda: forospamloco.net