Abstract CAPTCHAs are security mechanisms that try to prevent automated abuse of computer services. Many CAPTCHAs have been proposed but most have known security flaws against advanced attacks. In order to avoid a kind of oracle attacks in which the attacker learns about ground truth labels via active interactions with the CAPTCHA service as an oracle, Kwon and Cha proposed a new CAPTCHA scheme that employ uncertainties and trap images to generate adaptive CAPTCHA challenges, which we call “Uncertainty and Trap Strengthened CAPTCHA” (UTS-CAPTCHA) in this paper. Adaptive CAPTCHA challenges are used widely (either explicitly or implicitly) but the role of such adaptive mechanisms in the security of CAPTCHAs has received little attention from researchers. In this paper we present a statistical fundamental design flaw of UTS-CAPTCHA. This flaw leaks information regarding ground truth labels of images used. Exploiting this flaw, an attacker can use the UTS-CAPTCHA service as an oracle, and perform several different statistical learning-based attacks against UTS-CAPTCHA, increasing any reasonable initial success rate up to 100% according to our theoretical estimation and experimental simulations. Based on our proposed attacks, we discuss how the fundamental idea behind our attacks may be generalized to attack other CAPTCHA schemes and propose a new principle and a number of concrete guidelines for designing new CAPTCHA schemes in the future.

中文翻译：

---

关于不确定性和陷阱：针对 Oracle 攻击的新 CAPTCHA 保护的基于 Oracle 的统计攻击

摘要 CAPTCHA 是一种安全机制，旨在防止自动滥用计算机服务。已经提出了许多 CAPTCHA，但大多数都存在针对高级攻击的已知安全漏洞。为了避免攻击者通过与作为预言机的 CAPTCHA 服务的主动交互来了解真实标签的预言机攻击，Kwon 和 Cha 提出了一种新的 CAPTCHA 方案，该方案利用不确定性和陷阱图像来生成自适应 CAPTCHA 挑战。我们在本文中称之为“不确定性和陷阱强化验证码”（UTS-CAPTCHA）。自适应验证码挑战被广泛使用（显式或隐式），但这种自适应机制在验证码安全性中的作用很少受到研究人员的关注。在本文中，我们提出了 UTS-CAPTCHA 的统计基本设计缺陷。此缺陷会泄露有关所用图像的真实标签信息。利用这个缺陷，攻击者可以使用 UTS-CAPTCHA 服务作为预言机，对 UTS-CAPTCHA 执行几种不同的基于统计学习的攻击，根据我们的理论估计和实验模拟，将任何合理的初始成功率提高到 100%。基于我们提出的攻击，我们讨论了如何将我们的攻击背后的基本思想推广到攻击其他 CAPTCHA 方案，并为未来设计新的 CAPTCHA 方案提出了一个新的原则和一些具体的指导方针。根据我们的理论估计和实验模拟，将任何合理的初始成功率提高到 100%。基于我们提出的攻击，我们讨论了如何将我们的攻击背后的基本思想推广到攻击其他 CAPTCHA 方案，并为未来设计新的 CAPTCHA 方案提出了新的原则和一些具体的指导方针。根据我们的理论估计和实验模拟，将任何合理的初始成功率提高到 100%。基于我们提出的攻击，我们讨论了如何将我们的攻击背后的基本思想推广到攻击其他 CAPTCHA 方案，并为未来设计新的 CAPTCHA 方案提出了新的原则和一些具体的指导方针。