انتشار شده در تاریخ 1395/01/23 - 17:15

حملات گسترده علیه ریکپچاهای گوگل و فیس‌بوک

به گزارش واحد امنیت سایبربان؛ گروهی از پژوهش‌گران امنیتی، آسیب‌پذیری‌هایی را در سامانه‌های ریکپچا در فیس‌بوک و گوگل پیداکرده‌اند،‌و بر این اساس حمله‌ای را سازمان‌دهی کرده‌اند که با درصد بالایی از موفقیت به‌صورت خودکار سامانه حفاظت آن‌ها را دور می‌زند. این پژوهش در اجلاس بلک‌هت ۲۰۱۶ که هفته‌ی گذشته در سنگاپور برگزار شد ارائه‌شده است.

بر اساس گفته‌های این پژوهش‌گران، آن‌ها نقص‌هایی را یافته‌اند که به مهاجم اجازه می‌دهد تا به‌راحتی خطر را تحلیل کرده، از محدودیت‌ها بگذرد و حملاتی در مقیاس وسیع انجام دهد. علاوه بر این آن‌ها موفق شده‌اند تا حمله خود را بر اساس فناوری یادگیری عمیق برای «توضیح معنایی تصاویر» بنا کنند و می‌گویند که نه‌تنها مؤثر است بلکه حتی مؤثرتر از خدمات حل تصاویر امنیتی کپچاهای موجود است.

پژوهش‌گرانی دانشکده کامپیوتر دانشگاه کلمبیا، علاوه بر این مجموعه‌ای از تدابیر حفاظتی و تغییراتی را پیشنهاد کرده‌اند که تأثیر چنین حملاتی را کمتر کرده و آن‌ها را پرهزینه‌تر می‌کند.

این تحقیق بر سامانه ریکپچای شرکت گوگل تمرکز کرده است که بر پایه «تجزیه‌وتحلیل پیشرفته خطر» بناشده است، به این معنا که درخواست‌ها برای تعیین سختی تصاویر امنیتی بازگردانده شده را ارزیابی می‌کند. هنگامی‌که در حالت برون‌خط (آفلاین) مورد آزمایش قرار گرفت، سامانه نفوذ به کپچا، ۴۱٫۵۷ درصد دقت را در ۲۰٫۹ ثانیه در هر چالش را از خود نشان داد.

این حمله به ۲۲۳۵ مورد از تصاویر امنیتی گوگل قادر بود تا به‌طور خودکار ۷۰٫۷۸ درصد از چالش‌های ریکپچا را با نرخ ۱۹ ثانیه در هر چالش حل کند. اگرچه با تمرکز بر ریکپچا این حمله می‌توانست به سایر سامانه‌ها نیز به‌خوبی حمله کند و پژوهش‌گران آن را در برابر تصاویر امنیتی جدید فیس‌بوک نیز آزمایش کردند که در ۲۰۰ تصویر به‌دقت ۸۳٫۵ درصد دست یافتند.

دقت کمتر در هنگام مواجه به ریکپچاهای گوگل به این خاطر است که این غول اینترنتی از تصاویر باکیفیت کمتر استفاده می‌کند به‌طوری‌که برخی از آن‌ها حتی برای چشم‌های انسان نیز قابل‌تمایز و تشخیص نیستند؛ اما فیس‌بوک از طرف دیگر، از تصاویر باکیفیت بالا استفاده می‌کند که آسان‌تر قابل ارزیابی و شکستن هستند.

بعد از تعیین دقت سامانه، محققان شروع به مقایسه آن با سایر سامانه‌های نفوذ به تصاویر امنیتی کردند تا ارزیابی بهتری از بهره‌وری هزینه آن به عمل‌آورند.

این سامانه، در برابر Decaptcher که یک حل‌کننده تصاویر کپچا است و دو دلار در هر هزار کپچای حل‌شده هزینه دارد و دقتی برابر ۴۴٫۳ دارد، بهتر عمل می‌کند.

بر اساس گفته‌های محققان، آن‌ها یافته‌های خود را به گوگل اعلام کردند که مجموعه‌ای از اصلاحات را برای محافظت از سامانه ریکپچای خود و فرایند تجزیه‌وتحلیل آن انجام داده است. به فیس‌بوک نیز در مورد مشکلات کشف‌شده اطلاع‌رسانی صورت گرفته است، اما این شرکت هیچ‌گونه تغییری را در سامانه کپچای خود اعلام نکرده است.