Forskere snyder Googles reCaptcha med 85 pct. succes

Ved at afkode lydfiler knyttet til Googles reCaptcha er det lykkedes forskere at snyde systemet.

Flere kender kender nok Googles reCaptcha, hvor brugeren skal klikke i et felt for at bevise, at han eller hun ikke er en robot.

Forskere har fundet en måde at snyde systemet på med en succesrate på 85 pct. - blandt andet med Googles egen tale-til-tekst-algoritme.

Efter sikkerhedsfolkene har gjort Google opmærksom på angrebsteknikken, har virksomheden forbedret reCaptcha-sikkerheden.

Kimen til UnCaptcha blev lagt under et hackerthon kaldet Bit Camp hos amerikanske University of Maryland. Hjemmeside for projektet kaldet unCaptcha ligger ligeledes hos universitetet, hvor forskerne også er fra.

Folkene bag projektet er Kevin Bock, Daven Patel, George Hughey og Dave Levin.

På unCaptchas hjemmeside bliver det forklaret, at det ofte er det nok at klikke i 'jeg er ikke en robot'-feltet. Herefter registrerer systemet blandt andet på musebevægelser, hvorvidt det er et menneske eller en maskine, der forsøger at få adgang.

Tvivlstilfælde

Nogle gange opstår der tvivlstilfælde, og en serie med billeder bliver præsenteret for brugeren, som derefter skal klikke på felter med eksempelvis en appelsin. Igen for at spotte, om det er menneske eller maskine, der forsøger at logge ind på for eksempel et debat-forum.

Af hensyn til de brugere, der ikke kan se billederne, er det muligt at få læst op af en lydbid i stedet. Herefter skal brugeren så indtaste de numre, der bliver læst op.

Og det er i forhold til lydbidden, forskerne sætter 'angrebet' ind. Via kode, der ligger her på GitHub, bliver lydbidden hentet. Herefter bliver den segmenteret i lydbidder og så uploaded til forskellige tale-til-tekst-tjenester.

Tjenesterne, der blandt andet omfatter Googles, bliver brugt til at omdanne lyden til cifre, som i sidste ende bliver uploadet.

450 live-test

Via teknikken har forskerne omgået Googles reCaptcha i 85,15 pct. af de 450 live-tilfælde af reCaptcha-udfordringer, som der er testet på.

Gennemsnits-omgåelsestiden er 5,42 sekunder, hvilket skulle være hurtigere, end det tager at lytte et lydklip igennem.

I den tekniske rapport bag unCaptcha fremgår det, at forskerne gjorde Google opmærksom på sårbarheden tilbage i maj i år. Google svarede, at man var bekendt med problematikken. Og i juli kom der ifølge rapporten fra forskerne mindre opdateringer til reCaptcha specifikt i forhold til lyd-afspilninger.

Opdateringerne har ifølge rapporten bevirket, at forskernes browser-automatiseringsværktøj - det er Selenium - nu afsløres af reCaptcha på både Mac OS X og Linux (Ubuntu).

På GitHub beskriver forskerne forbedringerne således:

»For instance, Google has also improved their browser automation detection. This means that Selenium cannot be used in its current state to get captchas from Google. This may lead to Google sending odd audio segments back to the end user. Additionally, we have observed that some audio challenges include not only digits, but small snippets of spoken text.«

Kimen til UnCaptcha blev lagt under et hackerthon kaldet Bit Camp hos University of Maryland.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere