Googles reCAPTCHA lässt sich mit Googles eigenen Diensten knacken

Der Suchmaschinenkonzern Google stellt selbst Services bereit, mit denen es möglich ist, eines seiner am weitesten verbreiteten CAPTCHA-Systeme auszuhebeln. Einem Sicherheitsforscher ist es so gelungen, das Verfahren mit einem relativ trivialen Python-Skript zu überwinden.
Es geht dabei um den reCAPTCHA-Service, der in zahlreiche Webseiten eingebunden ist und dort dafür sorgen soll, dass die Dienste nur von echten Nutzern und nicht von Bots genutzt werden. Das wird angesichts der technischen Entwicklungen immer schwieriger und die CAPTCHAs entsprechend komplexer. Daher bietet das System unter anderem verschiedene Alternativen an, mit denen sich beispielsweise auch sehbehinderte Menschen authentifizieren können sollen.

Und genau dadurch kommt es zu dem, was der Sicherheitsforscher, von dem nur das Pseudonym "East-EE" bekannt ist, eine "logische Schwachstelle" nennt. Bereits im vergangenen Jahr entdeckte er, dass sich reCAPTCHA über die alternativ zum Bilderrätsel angebotene Audio-Challenge mit einem anderen Google-Service austricksen lässt.

Googles ReCAPTCHA knackenGoogles ReCAPTCHA knackenGoogles ReCAPTCHA knackenGoogles ReCAPTCHA knacken

Die "Audio-Challenge" ist keine

Bei der Audio-Challenge wird dem Nutzer ein Begriff oder eine Wortgruppe vorgesprochen. Dieser soll das Gehörte dann als Text in ein Formularfeld schreiben oder anklicken, um zu belegen, dass er ein menschlicher Nutzer mit verschiedenen Sinnen ist. Allerdings ist die Analyse der Sprache für den heutigen Stand entsprechender Technologien natürlich nicht mehr sonderlich schwer.

Bei dem Angriff auf reCAPTCHA wird nun die Tatsache ausgenutzt, dass die Audio-Wiedergabe auch als MP3-Datei heruntergeladen werden kann. Das von East-EE entwickelte Python-Skript tut dies automatisch und übergibt das File dann an die ebenfalls von Google angebotene Speech Recognition API. Von dieser wird der benötigte Text dann zurückgeliefert und in das Formularfeld übertragen.

Die Lösung des reCAPTCHAs wird somit auf ziemlich einfache Weise automatisierbar. Es steht Angreifern dadurch kaum eine nennenswerte Hürde mehr im Weg, die Bots den Zugang zu den dahinterliegenden Diensten verwehrt. Von Seiten Googles ist bis jetzt noch nichts passiert, um die Lücke zu schließen.


Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 05:59 Uhr 240W USB C Ladegerät, 8 Port USB C netzteil, GaN Ladegerät GaN III Netzteil USB C faltbares PD Ladegerät kompatibel mit MacBook Pro/Air, iPad, Galaxy, iPhone15/14/13 Kamera240W USB C Ladegerät, 8 Port USB C netzteil, GaN Ladegerät GaN III Netzteil USB C faltbares PD Ladegerät kompatibel mit MacBook Pro/Air, iPad, Galaxy, iPhone15/14/13 Kamera
Original Amazon-Preis
79,98
Im Preisvergleich ab
79,99
Blitzangebot-Preis
67,98
Ersparnis zu Amazon 15% oder 12
Im WinFuture Preisvergleich
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!