Googles reCAPTCHA lässt sich mit Googles eigenen Diensten knacken

Logo, Captcha, Recaptcha, Captchas, Wörtererkennung Bildquelle: Recaptcha
Der Suchmaschinenkonzern Google stellt selbst Services bereit, mit denen es möglich ist, eines seiner am weitesten verbreiteten CAPTCHA-Systeme auszuhebeln. Einem Sicherheitsforscher ist es so gelungen, das Verfahren mit einem relativ trivialen Python-Skript zu überwinden. Es geht dabei um den reCAPTCHA-Service, der in zahlreiche Webseiten eingebunden ist und dort dafür sorgen soll, dass die Dienste nur von echten Nutzern und nicht von Bots genutzt werden. Das wird angesichts der technischen Entwicklungen immer schwieriger und die CAPTCHAs entsprechend komplexer. Daher bietet das System unter anderem verschiedene Alternativen an, mit denen sich beispielsweise auch sehbehinderte Menschen authentifizieren können sollen.

Und genau dadurch kommt es zu dem, was der Sicherheitsforscher, von dem nur das Pseudonym "East-EE" bekannt ist, eine "logische Schwachstelle" nennt. Bereits im vergangenen Jahr entdeckte er, dass sich reCAPTCHA über die alternativ zum Bilderrätsel angebotene Audio-Challenge mit einem anderen Google-Service austricksen lässt.

Googles ReCAPTCHA knackenGoogles ReCAPTCHA knackenGoogles ReCAPTCHA knackenGoogles ReCAPTCHA knacken

Die "Audio-Challenge" ist keine

Bei der Audio-Challenge wird dem Nutzer ein Begriff oder eine Wortgruppe vorgesprochen. Dieser soll das Gehörte dann als Text in ein Formularfeld schreiben oder anklicken, um zu belegen, dass er ein menschlicher Nutzer mit verschiedenen Sinnen ist. Allerdings ist die Analyse der Sprache für den heutigen Stand entsprechender Technologien natürlich nicht mehr sonderlich schwer.

Bei dem Angriff auf reCAPTCHA wird nun die Tatsache ausgenutzt, dass die Audio-Wiedergabe auch als MP3-Datei heruntergeladen werden kann. Das von East-EE entwickelte Python-Skript tut dies automatisch und übergibt das File dann an die ebenfalls von Google angebotene Speech Recognition API. Von dieser wird der benötigte Text dann zurückgeliefert und in das Formularfeld übertragen.

Die Lösung des reCAPTCHAs wird somit auf ziemlich einfache Weise automatisierbar. Es steht Angreifern dadurch kaum eine nennenswerte Hürde mehr im Weg, die Bots den Zugang zu den dahinterliegenden Diensten verwehrt. Von Seiten Googles ist bis jetzt noch nichts passiert, um die Lücke zu schließen.


Logo, Captcha, Recaptcha, Captchas, Wörtererkennung Logo, Captcha, Recaptcha, Captchas, Wörtererkennung Recaptcha
Diese Nachricht empfehlen
Kommentieren24
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 10:15 Uhr RSHTECH USB 3.0 Festplatte Dockingstation für 2.5 oder 3.5 Zoll SATA HDD SSD mit SD TF Kartenleser Unterstützung UASP und 10 TB Laufwerke, werkzeugfreies Aluminiumgehäuse mit ABS FederabdeckungRSHTECH USB 3.0 Festplatte Dockingstation für 2.5 oder 3.5 Zoll SATA HDD SSD mit SD TF Kartenleser Unterstützung UASP und 10 TB Laufwerke, werkzeugfreies Aluminiumgehäuse mit ABS Federabdeckung
Original Amazon-Preis
29,99
Im Preisvergleich ab
29,99
Blitzangebot-Preis
25,49
Ersparnis zu Amazon 15% oder 4,50
Im WinFuture Preisvergleich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden