谷歌已经固定在其音频验证码软件缺陷,可能给骗子一种自动设置虚假账户与公司的服务。
一篇文章中描述的缺陷是充分披露周一邮件列表。据《华盛顿邮报》报道,任何人都可以通过谷歌音频验证码(的全自动区分计算机和人类的图灵测试)测试通过键入任何10个词作为响应。
验证码是许多网站所使用的测试软件减少网络诈骗。网站经常使用CAPTCHA系统,以确保新的账户是由人类,而不是自动化脚本。通常一个验证码测试提供了一个高难度的形象也一个字,然后用户必须输入来证明他不是一个机器。音频版本使视力受损的用户使用验证码,通过记录测试词的声音。
据哈利Strongburg,充分披露的海报报告这个问题,输入“谷歌谷歌谷歌谷歌谷歌谷歌谷歌谷歌谷歌谷歌,“例如,将产生一个正确的回应,无论测试的话。
他无意中发现了这个问题之后,最近打字他怀疑的是一个不正确的回答几乎听不见的音频验证码信息。“我点击它,输入它听起来像什么,它正确地工作,”Strongburg在一封电子邮件里说。“感兴趣的,我又试了一次与另一个随机的长度相同的句子。令我惊奇的是,它工作了。”
谷歌迅速修复bug后披露。
“我们固定一个错误在我们的音频验证码验证昨晚在几小时内,“周二发言人Jay Nancarrow表示在一封电子邮件。“音频验证码继续正常运转。”
这是一件好事,因为理论上,骗子可以利用这个bug来快速创建成千上万的恶意谷歌账户。谷歌的Gmail服务已经被垃圾邮件发送者,趋势科技安全研究员保罗·弗格森说。和博客作者和谷歌组织被用来传播恶意软件,在即时消息采访中他补充道。
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com