Sådan gennemhullede hackere Googles Captcha-system fuldstændigt

En Captcha-test er defineret ved, at kun rigtige, levende mennesker kan løse dem, mens en computer må give op. Men svagheder i Googles løsning reCaptcha gjorde det muligt for tre it-sikkerhedsfolk at knække nødden, så en computer kunne klare testen hele 99,1 procent af gangene.

Det skriver Ars Technica, i en længere gennemgang af, hvad der gik galt for Googles løsning.

Sikkerheden i reCaptcha-løsningen, som bliver brugt af 200.000 websites verden over, nåede dog lige præcis ikke at falde sammen, for to timer før metoden til at snyde reCaptcha blev offentliggjort ved en konference, opdaterede Google løsningen, så svaghederne blev fjernet.

Finten i Stiltwalker, som hacker-metoden blev døbt, var at bruge den oplæsningsfunktion, der skal hjælpe svagtseende, blinde og andre, der må opgive at tyde de krøllede bogstaver. Her blev seks normale ord læst op, med baggrundsstøj fra skramlede radiotransmissioner afspillet bagfra, så hackere ikke bare kunne bruge talegenkendelse til at smutte igennem.

Svagheden var bare, at baggrundsstøjen ikke havde høje frekvenser med, mens de ord, der skulle tydes, brugte hele spektret, og Stiltwalker kunne derfor isolere oplæsningen af ord fra støjen.

Derudover brugte reCaptcha-systemet kun 58 forskellige ord, omend med forskellig udtale, og der var også en høj tolerance over for, hvordan brugeren kunne stave ordet. Skrev man ’friay’, blev det accepteret, uanset om det rigtige svar var ’friday’, ’fairy’ eller ’four’.

Da de tre white-hat-hackere bag Stiltwalker lørdag den 2. juni skulle fremlægge resultaterne offentligt for første gang, kom Google dem i forkøbet. To timer før præsentationen havde Google ændret oplæsnings-funktionen, så der var alle slags frekvenser med i baggrundsstøjen. Samtidigt blev længden af lydklippet hævet fra otte sekunder til 30, og antallet af ord, man skulle lytte til og genkende, steg fra seks til ti.