Sådan gennemhullede hackere Googles Captcha-system fuldstændigt

Ved hjælp af svagheder i oplæsning af de uforståelige tekster i Captcha-systemet hos Google kunne en computer løse 99 procent af dem. Google nåede dog lige akkurat at forbedre sikkerheden, inden løsningen blev offentliggjort.

En Captcha-test er defineret ved, at kun rigtige, levende mennesker kan løse dem, mens en computer må give op. Men svagheder i Googles løsning reCaptcha gjorde det muligt for tre it-sikkerhedsfolk at knække nødden, så en computer kunne klare testen hele 99,1 procent af gangene.

Det skriver Ars Technica, i en længere gennemgang af, hvad der gik galt for Googles løsning.

Sikkerheden i reCaptcha-løsningen, som bliver brugt af 200.000 websites verden over, nåede dog lige præcis ikke at falde sammen, for to timer før metoden til at snyde reCaptcha blev offentliggjort ved en konference, opdaterede Google løsningen, så svaghederne blev fjernet.

Finten i Stiltwalker, som hacker-metoden blev døbt, var at bruge den oplæsningsfunktion, der skal hjælpe svagtseende, blinde og andre, der må opgive at tyde de krøllede bogstaver. Her blev seks normale ord læst op, med baggrundsstøj fra skramlede radiotransmissioner afspillet bagfra, så hackere ikke bare kunne bruge talegenkendelse til at smutte igennem.

Svagheden var bare, at baggrundsstøjen ikke havde høje frekvenser med, mens de ord, der skulle tydes, brugte hele spektret, og Stiltwalker kunne derfor isolere oplæsningen af ord fra støjen.

Derudover brugte reCaptcha-systemet kun 58 forskellige ord, omend med forskellig udtale, og der var også en høj tolerance over for, hvordan brugeren kunne stave ordet. Skrev man ’friay’, blev det accepteret, uanset om det rigtige svar var ’friday’, ’fairy’ eller ’four’.

Da de tre white-hat-hackere bag Stiltwalker lørdag den 2. juni skulle fremlægge resultaterne offentligt for første gang, kom Google dem i forkøbet. To timer før præsentationen havde Google ændret oplæsnings-funktionen, så der var alle slags frekvenser med i baggrundsstøjen. Samtidigt blev længden af lydklippet hævet fra otte sekunder til 30, og antallet af ord, man skulle lytte til og genkende, steg fra seks til ti.

Kommentarer (2)

Ebbe Tranberg

CAPTCHA er et af de værste irritationsmomenter på nettet.
Jeg afprøver p.t. Firefox plug-in-et Rumola, der tilsyneladende virker.

De føste 10 er gratis, derefter koster det penge.

Det er vel CAPTCHA selv der står bag, efter den kendte forretningsmodel: betal os for at fjerne det problem vi har skabt.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Windows Server kursus 2008 grundlæggende

Hvornår: 2015-10-26 Hvor: Storkøbenhavn Pris: kr. 6800.00

Lav den rigtige løn

Hvornår: 2015-10-01 Hvor: Sydjylland Pris: kr. 5820.00

Undersøgelse af sundhedsfaglig praksis

Hvornår: 2016-01-11 Hvor: Østjylland Pris: kr. 7100.00

Digital kommunikation - klar tale på digitale kanaler

Hvornår: 2015-12-08 Hvor: Østjylland Pris: kr. 4990.00

Certificeret projektleder i Energiledelse inden for Facilities Management (FM)

Hvornår: 2015-09-09 Hvor: Storkøbenhavn Pris: kr. 28950.00