Googles reCAPTCHA lässt sich mit Googles eigenen Diensten knacken
Der Suchmaschinenkonzern Google stellt selbst Services bereit, mit denen es möglich ist, eines seiner am weitesten verbreiteten CAPTCHA-Systeme auszuhebeln. Einem Sicherheitsforscher ist es so gelungen, das Verfahren mit einem relativ trivialen Python-Skript zu überwinden.
Es geht dabei um den reCAPTCHA-Service, der in zahlreiche Webseiten eingebunden ist und dort dafür sorgen soll, dass die Dienste nur von echten Nutzern und nicht von Bots genutzt werden. Das wird angesichts der technischen Entwicklungen immer schwieriger und die CAPTCHAs entsprechend komplexer. Daher bietet das System unter anderem verschiedene Alternativen an, mit denen sich beispielsweise auch sehbehinderte Menschen authentifizieren können sollen.
Und genau dadurch kommt es zu dem, was der Sicherheitsforscher, von dem nur das Pseudonym "East-EE" bekannt ist, eine "logische Schwachstelle" nennt. Bereits im vergangenen Jahr entdeckte er, dass sich reCAPTCHA über die alternativ zum Bilderrätsel angebotene Audio-Challenge mit einem anderen Google-Service austricksen lässt.
Bei dem Angriff auf reCAPTCHA wird nun die Tatsache ausgenutzt, dass die Audio-Wiedergabe auch als MP3-Datei heruntergeladen werden kann. Das von East-EE entwickelte Python-Skript tut dies automatisch und übergibt das File dann an die ebenfalls von Google angebotene Speech Recognition API. Von dieser wird der benötigte Text dann zurückgeliefert und in das Formularfeld übertragen.
Die Lösung des reCAPTCHAs wird somit auf ziemlich einfache Weise automatisierbar. Es steht Angreifern dadurch kaum eine nennenswerte Hürde mehr im Weg, die Bots den Zugang zu den dahinterliegenden Diensten verwehrt. Von Seiten Googles ist bis jetzt noch nichts passiert, um die Lücke zu schließen.
Und genau dadurch kommt es zu dem, was der Sicherheitsforscher, von dem nur das Pseudonym "East-EE" bekannt ist, eine "logische Schwachstelle" nennt. Bereits im vergangenen Jahr entdeckte er, dass sich reCAPTCHA über die alternativ zum Bilderrätsel angebotene Audio-Challenge mit einem anderen Google-Service austricksen lässt.
Die "Audio-Challenge" ist keine
Bei der Audio-Challenge wird dem Nutzer ein Begriff oder eine Wortgruppe vorgesprochen. Dieser soll das Gehörte dann als Text in ein Formularfeld schreiben oder anklicken, um zu belegen, dass er ein menschlicher Nutzer mit verschiedenen Sinnen ist. Allerdings ist die Analyse der Sprache für den heutigen Stand entsprechender Technologien natürlich nicht mehr sonderlich schwer.Bei dem Angriff auf reCAPTCHA wird nun die Tatsache ausgenutzt, dass die Audio-Wiedergabe auch als MP3-Datei heruntergeladen werden kann. Das von East-EE entwickelte Python-Skript tut dies automatisch und übergibt das File dann an die ebenfalls von Google angebotene Speech Recognition API. Von dieser wird der benötigte Text dann zurückgeliefert und in das Formularfeld übertragen.
Die Lösung des reCAPTCHAs wird somit auf ziemlich einfache Weise automatisierbar. Es steht Angreifern dadurch kaum eine nennenswerte Hürde mehr im Weg, die Bots den Zugang zu den dahinterliegenden Diensten verwehrt. Von Seiten Googles ist bis jetzt noch nichts passiert, um die Lücke zu schließen.
Thema:
Beliebte Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - 20.06. 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - 19.06. 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - 19.06. 11:14 Uhr -
Datenträgerverwaltung
micro300 - 19.06. 08:52 Uhr -
KDE kommt mit Plasma 6.7
d-hubs - 18.06. 20:26 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen